中新經緯客戶端7月9日電 打開手機,通過借貸APP借款已經成為不少人的選擇。但你知道嗎?不少借貸APP在非法收集用戶影像資料。近日,360烽火實驗室曝光了一批這樣的移動應用軟體。包括給你花、信用袋、唄唄花、萬分期貸、花易貸、今日錢包、魚躍分期、魚米分期和開心果等9款軟體。
近期,360烽火實驗室在對金融類移動軟體持續監控過程中發現了一類具有隱秘拍照行為的軟體。據悉,這類軟體主要功能是為用戶提供借貸服務,在看似正常的功能下,存在未經用戶批准、用戶無感知的隱私非法收集行為。
靜默拍照
截止今年6月中旬,360烽火實驗室共監控到給你花、信用袋、唄唄花、萬分期貸、花易貸、今日錢包、魚躍分期、魚米分期和開心果等9款軟體共計90個樣本。這9款軟體的界面與功能基本相同,與以往發現的具有隱私非法收集行為的借貸軟體不同,這類借貸軟體除了非法收集用戶敏感通訊數據外,還嘗試對用戶面部圖像進行了靜默偷拍與上傳。
軟體名稱與功能
據介紹,這類借貸軟體啟動後會停留在登錄頁面,需要登錄才能進入主頁面,登錄頁面無任何隱私聲明,而靜默偷拍就是在打開登錄頁面的時候同步進行的。
信用袋登錄頁面
這類軟體使用了開源的無預覽拍照工具AndroidHiddenCamera,每次打開登錄界面都會檢測手機機型,根據機型調用前置或後置攝像頭進行靜默拍照,因此即便用戶開啟了攝像頭拍照快門提示音與閃光燈,其在拍照時也不會發出提示音與閃光,以此來躲避用戶的感知。
該類軟體在靜默拍照時首選前置攝像頭偷拍用戶面部圖像,只有檢測到在某些具有升降攝像頭的特定機型下才會使用後置攝像頭。具有升降攝像頭的手機在使用前置攝像頭拍照時會升起攝像頭,為了躲避用戶感知達到偷拍目的,這類軟體在採集面部圖像時會避開具有升降攝像頭的手機,以免攝像頭升起讓用戶有所察覺。
靜默拍攝的圖片名稱為a.jpg,保存在用戶手機SD卡中以軟體名全拼命名的文件夾下,如「信用袋」的圖片保存路徑為/sdcard/xinyongdai/camera/a.jpg,如果路徑下有同名文件存在不會進行覆蓋。當用戶身份認證成功後,該圖片會被私自上傳至指定伺服器。
隱私收集與明文上傳
360烽火實驗室指出,除了偷拍用戶面部圖像外,這類借貸軟體也對用戶敏感通訊數據進行了非法收集與明文上傳。
據介紹,當用戶登錄成功後必須先完成多重認證才能進行借款操作,在進行身份認證時,這類軟體會收集用戶簡訊、通話記錄與安裝軟體列表,並將這些個人敏感信息連同用戶在身份認證時上傳的身份證照片一併明文發送至指定伺服器。
而與身份認證同步進行的隱私非法收集及明文上傳過程用戶無任何感知,且在首頁、認證頁與個人頁都看不到隱私聲明。(中新經緯APP)