近來有則新聞是「hTC被抓到了!內建Easycard取個資」,此事爭議點在於hTC手機內建的悠遊卡「easy card」應用程式,可以取得使用者個人資料,包括網路存取記錄、日曆活動、撥打電話等一些隱私相關的權限(如下圖),雖然有「強制停止」的選項,不過卻無法讓使用者自行選擇移除。
.jpg)
資安顧問翁浩正認為,這事情有瑕疵,但影響程度還不算高,hTC應該可以做得更好。他認為:
1. 第三方應用程式應該可以讓人選擇性的安裝。
手機系統廠商應該仔細考慮內建哪些合作廠商的應用程式,否則任一合作廠商的應用程式有問題,也難辭其咎。
他舉例,過去Motorola的做法就是將一些附贈的應用程式放在SD記憶卡內,隨機附送,可任使用者自行選取是否安裝。
2. 第三方應用程式使用權限應該仔細說明。
這是屬於作業系統的顯示層面,如果應用程式做得好,可以特別針對存取權限進行獨立說明,提供更好的服務,也讓使用者能夠更安心。
由於這是第三方應用程式的預留功能,因此可能會因為圖方便,就預先將可能存取的權限要求寫進去,但不一定真的會做。而為求簡化手機製造過程、大量生產,通常會將這些程式寫在唯讀記憶體(Rom, Read-Only Memory)裡面,因此無法刪除。另外,雖然該程式有強制停止功能,但如果這程式屬於「背景服務」,例如鬧鐘這類的服務,就是無法讓使用者關閉,會自動執行。
不過,翁浩正說,其實不光是這些程式,手機系統商本身就有許多程式需要使用者賦予權限才能運作,像是受到很多使用者喜愛的hTC Sense,或是前陣子Apple也曾發生iOS上面大量的應用程式會未經授權就傳輸、保存使用者的聯絡人訊息等,翁浩正說,當你選擇使用智慧型手機之初,對手機系統商的信賴度可能就是一個重點,現今的手機越來越智慧,裡面隱含的資料也越來越重要、機敏。
儘管這起新聞影響程度不算高,不過也顯示出現在的使用者越來越重視自己的隱私,也提醒手機系統商,也應多加注意考慮手機使用者隱私權及資安防護的問題。