腾讯科技 宗秀倩 3月16日报道
“两年前我们在和微博对接时使用了当时的Xauth明文传输协议,这是当时行业的通用做法。随着微博开始采用更具保密性的SSO协议,我们也在去年下半年转用此协议与微博对接,现在的版本已没有信息泄露的问题。”高德地图副总裁郄建军这样澄清。
昨日晚间,央视315晚会上曝光安卓系统通过手机软件收集并泄露用户信息。
在央视的调查中,央视称,高德地图的位置共享服务会收集的用户账号和密码被以明文的方式传给高德的服务器。
央视的调查称,“用户可以通过它直接将自己当前的位置信息链接到新浪微博、搜狐微博、网易微博、人人网等第三方网站。然而监测人员发现,当用户通过高德导航软件输入这些微博的账号和密码时,这些账号和密码竟然被以明文的方式,传给了高德的服务器。”
复旦大学移动互联网数据安全技术研究中心常务副主任杨珉在节目中说,这些账户信息应该是直接交由第三方网站去验证,但这些账户信息是发给高德的服务器地址,他认为,这是一种比较明显的用户账号泄露的行为。
央视的节目播出后,高德对此事调查后做出回应称,央视曝光的是两年前的旧版本,当时受制于分享到微博的技术方式,采取模拟用户登录。自去5月,微博改变登录方式,高德地图随后也更换了第三方登录和验证的方法,现高德地图安卓版已全部解决这个问题。
郄建军接受腾讯科技专访时强调,现在的高德地图版本没有问题,用户可以放心下载。
至于旧版本和新版本之间的信息保护差异,郄建军解释说,2年前,高德地图与微博等应用对接时,行业当时都采用的Xauth传输协议,要求是以明文的方式传输,这是当时行业企业的一种通行做法。去年,微博开始采用更具保密性的SSO协议,从去年下半年开始,高德地图已经开始采用SSO协议与微博进行合作。
郄建军坦言,在明文传输的情况下,由于信息没有加密,的确会有泄露用户隐私的潜在风险,
不过在这期间,高德并没有信息泄露的情形发生。
“用户要通过位置分享信息转发到微博,需要我们向微博要一个权限,这就产生了明文传输到服务器的环节。”郄建军说,“在与微博的对接中,高德地图起了一个中转站作用。我们本身没有存储用户的信息,而是直接转发。我们也没有做其他的事情,所以不存在信息泄露的问题。”
央视的调查依据来自于复旦大学移动互联网数据安全技术研究中心。该中心对当前比较热门的330多款安卓系统下的手机软件进行了为期半年的监测。王晓阳表示,58%以上的软件都存在隐私信息泄密的问题。
高德今日晚间回应称,“关于央视315曝光的高德地图问题,经调查,曝光的是两年前的旧版本,当时受制于分享到微博的技术方式,采取模拟用户登录。自去年5月,微博改变登录方式,高德地图随后也更换了第三方登录和验证的方法,现高德地图安卓版已全部解决这个问题。”
这是一款预装在摩托罗拉XT685手机内,名为高德地图的安卓版软件。高德地图有一个位置共享服务,用户可以通过它直接将自己当前的位置信息链接到新浪微博、搜狐微博、网易微博、人人网等第三方网站。然而监测人员发现,当用户通过高德导航软件输入这些微博的账号和密码时,这些账号和密码,竟然被以明文的方式,传给了高德的服务器。
复旦大学移动互联网数据安全技术研究中心杨珉常务副主任:“这些账户信心,应该是直接交由第三方网站去验证的 但是我们在检测中却发现 这些账户信息是发给高德的服务器地址,我们认为,这是一种比较明显的,用户账号泄露的行为。”