7月7日,据360安全大脑监测数据显示,截至今年6月中旬,共发现“给你花”、“信用袋”、“呗呗花”、“万分期贷”、“花易袋”、“今日钱包”、“鱼跃分期”、“鱼米分期”、“开心果”这9款金融借贷app涉嫌非法窃取用户隐私数据。
值得注意的是,不同于其他隐私窃取软件,这9款app不仅会非法收集用户的敏感数据,还会尝试对用户面部图像进行静默偷拍。
技术人员经过深入分析发现,这9款app都用了同样的窃取手法,即在用户常规启动登录页面、输入信息,登录主页面的过程中进行“偷拍”,悄无声息地获取用户的个人信息。
他们表示,这9款app借助开源软件android-hidden-camera进行静默偷拍。一旦用户打开登录界面,这款开源软件就会立即检测手机机型,然后根据机型调用前置或后置摄像头,并进行静默拍照,整个过程不会发出提示音与闪光,可以轻松躲过用户的注意。
更甚者,如果检测到用户使用的是具有升降功能摄像头的手机,这款开源软件就不会采集用户的面部图像,以防被用户察觉,暴露窃取行为。对此,技术人员表示,这9款app会优先使用前置摄像头来偷拍用户的面部图像,只有在检测到某些具有升降摄像头的特定机型时,才会盗用后置摄像头。
(来源:unsplash)
与以往其他隐私窃取软件一样,这9款app也会非法采集并明文上传用户的各种敏感通信与络数据,比如用户短信、通话记录、通讯录、接入络等。
以“信用袋”为例,使用该app的用户在登录后必须先完成多重认证才能进行借贷操作,在这一过程中,“信用袋”app会趁机收集用户短信、通话记录与安装软件列表,并将这些个人敏感信息与上传的身份证照片一起明文上传到指定服务器。
经360安全大脑溯源分析发现,上述部分app的隐私回传服务器域名为xinxinshujucom,认为非法收集用户隐私的目标单位为湖南新薪时代信用服务有限。截至目前,该尚未对这一事件做出回应。
如今,在大数据与个人隐私边界模糊的时代,“如何保护我们的隐私”仍将是未来持续关注的热点话题。作为用户,作为隐私窃取app的最终受害者,我们应该谨慎处理这些app的隐私权限和许可隐私声明授予请求,尽可能地从官方、主流应用市场下载、安装和使用。