中科院《个人隐私泄露风险报告》曝光
360、谷歌等名列其中,360称所有软件均遵循“四不三必须”准则
昨日,南都记者独家获悉,中国科学院信息工程研究所主办了一场主题为“隐私保护”的闭门学术研讨会,同时发布了一份由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》(下称报告)。内容显示,目前网民日常使用的许多网络服务都存在泄露隐私的风险;国内外许多知名互联网公司榜上有名,包括360浏览器、微软[微博]的Hotmail、谷歌[微博]的Gmail等。
多个互联网应用名列其中
据内部人士透露,此次中科院联合了北京大学互联网技术北京市重点实验室(下称实验室)共同针对当前互联网常用产品及服务的隐私保护问题进行了整体研究,涉及浏览器、即时通讯、电子商务、社区网站等多个类别。
报告称,中科院信息工程研究所研究人员经过研究和分析,归纳列举出360安全浏览器存在的三大安全问题,其中包括:收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况下利用云端指令,在后台执行规定内容之外的功能。
在南都记者获得的部分报告原文内容中,实验室以360安全浏览器最新版本5.0为例,对浏览器的用户隐私泄露问题进行了技术分析和研究。发现浏览器在使用过程中,会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能。这可能涉及隐私泄露。
奇虎360有关人士接受南都记者采访时曾表示,360的所有软件产品均将遵循“四不三必须”准则。“四不”是指:不该看的不看;不该传的不传;不该存的不存;不该用的不用。“三必须”是指:一切行为必须明示;必须经过用户许可;必须对收集的用户个人信息负责。
隐私泄露范围广、影响大
按照报告内容,除以360浏览器为代表的网络浏览器外,以H otm ail和G m ail为代表的邮箱业务,Skype为代表的即时通信软件等均存在在用户不知情的情况下,泄露隐私的问题。至南都记者发稿为止,谷歌等相关企业均未作出回复。
早在两年前,有关谷歌G m ail的用户隐私泄露问题就已见诸报端,但发生地在美国本土。当时据外媒报道,有黑客设计过一个网站,用户只要登录过谷歌帐户(如G m ail),然后再访问该网站,那么G m ail用户的电子邮箱地址等信息就会被泄露。当时该黑客只是以试验的性质抓取该漏洞并设计网站,并把整个过程曝光,以提醒谷歌,但未获得回复。直至问题越闹越大,谷歌才发表声明称,“该问题存在于G oogleA pps脚本A PI(应用编程接口)中,如果用户访问过特定网站,那么第三方可以在未经用户许可前提下向用户发送电子邮件。”并表示已经迅速修复该问题,阻止了存在问题的网站。不过按照此次中科院发布的报告,谷歌类似的隐私泄露漏洞尚未被完全堵截。
报告对保护网民信息安全有益
“这是国内首次有权威科研机构出面证实多个互联网应用存在严重隐私泄露问题,对于保护网民信息安全、规范行业发展等方面具有重要意义。”互联网战略发展研究中心首席经济学家、互联网周刊主编姜奇平表示,用户必须意识到,他们在网络上的隐私保护状况现在已经急剧恶化。咨询公司战国策首席分析师杨群则认为,用户隐私收集就像是互联网行业内的一层窗户纸,很多人知道,但不知道如何应对,且因此出现实际损失的人也不多。然而,此次报告的内容被曝光,就像捅破了最后一道防线,可能会演变为全社会关注的问题。 采写:南都记者 方南