信息來(lái)源:FreeBuf
美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)禁止三個(gè)“跟蹤軟件”銷(xiāo)售,除非開(kāi)發(fā)人員可以證明其合法使用。該案是FTC首次打擊“跟蹤軟件”的舉措,這類(lèi)軟件安裝在設(shè)備上可以跟蹤設(shè)備所有者的位置、活動(dòng)等。
這些應(yīng)用程序來(lái)自一家名為Retina-X Studios軟件制造商公司,該公司負(fù)責(zé)人是James N. Johns Jr.。該公司業(yè)務(wù)主要是提供監(jiān)視員工和兒童的軟件。
FTC表示,除非開(kāi)發(fā)人員能夠證明這些應(yīng)用程序用于“合法目的”,否則這三個(gè)應(yīng)用程序均被禁止。此外,鑒于在過(guò)去的三年中出現(xiàn)的兩次安全漏洞事件,F(xiàn)TC要求這些應(yīng)用程序的開(kāi)發(fā)人員加強(qiáng)安全防御措施。
對(duì)于周二的聲明,F(xiàn)TC消費(fèi)者保護(hù)局負(fù)責(zé)人Andrew Smith表示,“對(duì)于所謂的“跟蹤軟件”,這是我們采取的第一個(gè)動(dòng)作。盡管可能有合理的理由跟蹤手機(jī),但這些應(yīng)用程序在后臺(tái)秘密運(yùn)行,特別容易淪為非法和危險(xiǎn)用途。在這種情況下,我們將讓?xiě)?yīng)用開(kāi)發(fā)人員對(duì)應(yīng)用程序負(fù)責(zé)。”
其中,三個(gè)Retina-X應(yīng)用程序受到特別審查,即用于監(jiān)視員工和兒童的MobileSpy,以及用于監(jiān)視兒童使用的移動(dòng)設(shè)備的PhoneSheriff和TeenShield。
2018年該公司停售這三個(gè)跟蹤應(yīng)用程序之前,就已經(jīng)售出了超過(guò)15000次。一旦安裝后,該軟件將跟蹤設(shè)備用戶(hù)的地理位置和在線(xiàn)活動(dòng)。
這些應(yīng)用違反了《兒童在線(xiàn)隱私保護(hù)法》(COPPA),該法要求運(yùn)營(yíng)商確保他們從13歲以下兒童那里收集到的信息安全,以及FTC法案禁止不公平和欺騙性的行為。
這些應(yīng)用程序構(gòu)成了重大的隱私風(fēng)險(xiǎn),且它們不會(huì)通知用戶(hù)設(shè)備中已經(jīng)安裝了這些軟件,這具有可怕的安全隱患。如果要安裝這些應(yīng)用程序,則要求購(gòu)買(mǎi)者繞過(guò)移動(dòng)設(shè)備制造商的限制,這會(huì)讓設(shè)備遭受安全漏洞利用的攻擊。
另外,Retina-X不對(duì)從設(shè)備收集的信息本身(GPS位置,短信等)負(fù)責(zé)。該公司將其大部分產(chǎn)品的開(kāi)發(fā)和維護(hù)工作外包給第三方,并且“未能實(shí)施合理的信息安全政策和程序,對(duì)其移動(dòng)應(yīng)用程序進(jìn)行安全測(cè)試,對(duì)服務(wù)提供商進(jìn)行充分監(jiān)督?!?/span>
正是因?yàn)槿绱?,?017年至2018年之間,出現(xiàn)了兩次安全漏洞事件,使黑客可以訪問(wèn)Retina-X的云存儲(chǔ)帳戶(hù)并刪除某些信息。
黑客訪問(wèn)了通過(guò)PhoneSheriff和TeenShield應(yīng)用收集的數(shù)據(jù),包括登錄用戶(hù)名、加密的登錄密碼、短信、GPS位置、聯(lián)系人和照片。而公司和Johns一直對(duì)此一無(wú)所知,直到2017年4月一名新聞?dòng)浾呗?lián)系告知,那時(shí)他們才知道黑客的第一次入侵。
因此,F(xiàn)TC規(guī)定,Retina-X必須要求購(gòu)買(mǎi)者聲明,他們只將這些應(yīng)用程序用于監(jiān)視孩子或雇員,或提供書(shū)面同意的其他成年人。這些應(yīng)用程序還必須在移動(dòng)設(shè)備上包含一個(gè)帶有應(yīng)用程序名稱(chēng)的圖標(biāo),該圖標(biāo)只能由安裝在未成年人手機(jī)上的父母或法定監(jiān)護(hù)人移除。最后,公司必須實(shí)施適當(dāng)?shù)陌踩胧?,包括每?jī)赡暌淮潍@取其信息安全計(jì)劃的第三方評(píng)估。