明明拒绝了小程序获取自己的位置信息 , 后台还是能精准定位 。这究竟是怎么做到的?
早在几年前 , 就有人提出了这个问题 。近日 , 隐私护卫队自主开发的一款定位小程序成功复现了上述情况 , 绕过用户授权 , 获取并存储了用户所在地点的经纬度信息 。
有专家表示 , 在明确拒绝或未授权的情况下 , 小程序能获取用户的精确位置属于技术“漏洞” 。如果平台明知“漏洞”的存在 , 却不采取相应措施 , 则难逃纵容小程序获取用户位置信息的嫌疑 。
拒绝授权定位 , 小程序却能获取位置坐标
为了使用标记所在位置 , 或者向朋友发送定位等功能 , 很多人往往会开启App或平台的定位功能——这代表你授权这些App获取精准位置 。
不过 , 假如是依附于这些平台的小程序想获取位置信息 , 则需先弹窗申请:理论上只有用户点击“同意” , 它们才有权获取位置信息 。
然而 , 根据隐私护卫队实测 , 在部分平台上 , 只要开启平台定位 , 即使用户拒绝小程序获取位置信息 , 小程序依然可以获取坐标信息 。
隐私护卫队实测发现 , 如果关闭平台定位 , 小程序也无法定位;但一旦开启平台定位 , 无论用户是否授权 , 有些小程序就能够直接精准定位 。
以某运动地图类小程序为例 , 关闭平台定位时 , 它显示定位在非洲;开启平台定位后 , 即使用户拒绝授权小程序定位 , 它也能立即准确定位到隐私护卫队所在位置 。
为此 , 隐私护卫队开发了一个简易小程序 , 证实了在未经用户授权的情况下 , 该小程序能够获取当前位置中心点的坐标 , 并成功将坐标值导到小程序后台 。
文章插图
实测“定位小程序”后台存储的用户位置的坐标值 。
隐私护卫队实测了多个平台发现 , 上述情况并非孤例 。一旦将位置信息与账号相关联 , 用户的个人信息就完全暴露 , 小程序则有违规获取个人信息的嫌疑 。
不过 , 隐私护卫队梳理发现 , 这一“漏洞”是完全可以避免的 。目前市场上就有平台从技术层面杜绝了小程序绕过用户授权获取位置信息的可能性 。
该“漏洞”曾被数名开发者提出 , 至今未修复
隐私护卫队注意到 , 过去几年 , 有至少两名开发者曾反馈过这个“漏洞” , 他们的质疑都指向同一套地图定位功能组件 。
2017年 , 开发者刘伟(化名)在网上发帖称 , 自己做了“真机实测” , 无论在iOS还是安卓系统上 , 即使小程序的定位授权被拒绝 , 仍然可以定位用户位置 , 并列出了详细方法 。
对此 , 相关技术专员回应称“这种情况比较特殊” , 并承诺会对该授权逻辑进行修复包加 。之后另一名技术专员回应类似问题时说 , 尽管小程序可以显示用户位置 , 但不能获取坐标值 , 所以不需要授权 。
但隐私护卫队实测证实 , 只要结合某核心地图组件和专门获取定位信息的接口 , 就能在未获授权的情形下获取用户的坐标信息 。
“你做登录了 , 那用户授权你就能有登录信息 , 你上传位置坐标的时候就可以带上用户信息 。”刘伟告诉隐私护卫队 , 小程序可以在后台把坐标信息和账号信息关联起来 。这就等于未经授权获取了用户的行踪轨迹 , 属于个人敏感信息 。
- 不让别人查我的微信聊天记录 怎么让别人查不到聊天记录
- 怎么将荣耀战区定位到别的省 如何将手机定位到其他位置
- 开干洗店大概投资多少钱 开洗衣店需要多少钱怎么样
- 个人电子邮箱申请注册流程 电子邮件地址怎么写格式
- 荣耀手机gps信号弱怎么解决 手机定位差是因为什么
- 被减数跟减数哪个在前 减数和被减数怎么区分
- 秦朝灭亡时蒙恬大军去哪儿了 蒙恬怎么死的
- 不接电话不回信息怎么能定位对方 如何手机定位跟踪
- 如何搜索所有的聊天记录 查找微信聊天记录怎么查找
- 老公不接电话怎么定位他的位置? 不收费的定位找人软件