掃二維碼與項(xiàng)目經(jīng)理溝通
我們?cè)谖⑿派?4小時(shí)期待你的聲音
解答本文疑問(wèn)/技術(shù)咨詢(xún)/運(yùn)營(yíng)咨詢(xún)/技術(shù)建議/互聯(lián)網(wǎng)交流
高德地圖郄建軍澄清:明文傳輸協(xié)議已在新版本中棄用
2016-01-26 09:22:24
欄目:網(wǎng)站建設(shè)
查看(2558 )
騰訊科技 宗秀倩 3月16日?qǐng)?bào)道
“兩年前我們?cè)诤臀⒉?duì)接時(shí)使用了當(dāng)時(shí)的Xauth明文傳輸協(xié)議,這是當(dāng)時(shí)行業(yè)的通用做法。隨著微博開(kāi)始采用更具保密性的SSO協(xié)議,我們也在去年下半年轉(zhuǎn)用此協(xié)議與微博對(duì)接,現(xiàn)在的版本已沒(méi)有信息泄露的問(wèn)題。”高德地圖副總裁郄建軍這樣澄清。
昨日晚間,央視315晚會(huì)上曝光安卓系統(tǒng)通過(guò)手機(jī)軟件收集并泄露用戶(hù)信息。
在央視的調(diào)查中,央視稱(chēng),高德地圖的位置共享服務(wù)會(huì)收集的用戶(hù)賬號(hào)和密碼被以明文的方式傳給高德的服務(wù)器。
央視的調(diào)查稱(chēng),“用戶(hù)可以通過(guò)它直接將自己當(dāng)前的位置信息鏈接到新浪微博、搜狐微博、網(wǎng)易微博、人人網(wǎng)等第三方網(wǎng)站。然而監(jiān)測(cè)人員發(fā)現(xiàn),當(dāng)用戶(hù)通過(guò)高德導(dǎo)航軟件輸入這些微博的賬號(hào)和密碼時(shí),這些賬號(hào)和密碼竟然被以明文的方式,傳給了高德的服務(wù)器。”
復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心常務(wù)副主任楊珉在節(jié)目中說(shuō),這些賬戶(hù)信息應(yīng)該是直接交由第三方網(wǎng)站去驗(yàn)證,但這些賬戶(hù)信息是發(fā)給高德的服務(wù)器地址,他認(rèn)為,這是一種比較明顯的用戶(hù)賬號(hào)泄露的行為。
央視的節(jié)目播出后,高德對(duì)此事調(diào)查后做出回應(yīng)稱(chēng),央視曝光的是兩年前的舊版本,當(dāng)時(shí)受制于分享到微博的技術(shù)方式,采取模擬用戶(hù)登錄。自去5月,微博改變登錄方式,高德地圖隨后也更換了第三方登錄和驗(yàn)證的方法,現(xiàn)高德地圖安卓版已全部解決這個(gè)問(wèn)題。
郄建軍接受騰訊科技專(zhuān)訪時(shí)強(qiáng)調(diào),現(xiàn)在的高德地圖版本沒(méi)有問(wèn)題,用戶(hù)可以放心下載。
至于舊版本和新版本之間的信息保護(hù)差異,郄建軍解釋說(shuō),2年前,高德地圖與微博等應(yīng)用對(duì)接時(shí),行業(yè)當(dāng)時(shí)都采用的Xauth傳輸協(xié)議,要求是以明文的方式傳輸,這是當(dāng)時(shí)行業(yè)企業(yè)的一種通行做法。去年,微博開(kāi)始采用更具保密性的SSO協(xié)議,從去年下半年開(kāi)始,高德地圖已經(jīng)開(kāi)始采用SSO協(xié)議與微博進(jìn)行合作。
郄建軍坦言,在明文傳輸?shù)那闆r下,由于信息沒(méi)有加密,的確會(huì)有泄露用戶(hù)隱私的潛在風(fēng)險(xiǎn),
不過(guò)在這期間,高德并沒(méi)有信息泄露的情形發(fā)生。
“用戶(hù)要通過(guò)位置分享信息轉(zhuǎn)發(fā)到微博,需要我們向微博要一個(gè)權(quán)限,這就產(chǎn)生了明文傳輸?shù)椒?wù)器的環(huán)節(jié)。”郄建軍說(shuō),“在與微博的對(duì)接中,高德地圖起了一個(gè)中轉(zhuǎn)站作用。我們本身沒(méi)有存儲(chǔ)用戶(hù)的信息,而是直接轉(zhuǎn)發(fā)。我們也沒(méi)有做其他的事情,所以不存在信息泄露的問(wèn)題。”
央視的調(diào)查依據(jù)來(lái)自于復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心。該中心對(duì)當(dāng)前比較熱門(mén)的330多款安卓系統(tǒng)下的手機(jī)軟件進(jìn)行了為期半年的監(jiān)測(cè)。王曉陽(yáng)表示,58%以上的軟件都存在隱私信息泄密的問(wèn)題。
高德今日晚間回應(yīng)稱(chēng),“關(guān)于央視315曝光的高德地圖問(wèn)題,經(jīng)調(diào)查,曝光的是兩年前的舊版本,當(dāng)時(shí)受制于分享到微博的技術(shù)方式,采取模擬用戶(hù)登錄。自去年5月,微博改變登錄方式,高德地圖隨后也更換了第三方登錄和驗(yàn)證的方法,現(xiàn)高德地圖安卓版已全部解決這個(gè)問(wèn)題。”
這是一款預(yù)裝在摩托羅拉XT685手機(jī)內(nèi),名為高德地圖的安卓版軟件。高德地圖有一個(gè)位置共享服務(wù),用戶(hù)可以通過(guò)它直接將自己當(dāng)前的位置信息鏈接到新浪微博、搜狐微博、網(wǎng)易微博、人人網(wǎng)等第三方網(wǎng)站。然而監(jiān)測(cè)人員發(fā)現(xiàn),當(dāng)用戶(hù)通過(guò)高德導(dǎo)航軟件輸入這些微博的賬號(hào)和密碼時(shí),這些賬號(hào)和密碼,竟然被以明文的方式,傳給了高德的服務(wù)器。
復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心楊珉常務(wù)副主任:“這些賬戶(hù)信心,應(yīng)該是直接交由第三方網(wǎng)站去驗(yàn)證的 但是我們?cè)跈z測(cè)中卻發(fā)現(xiàn) 這些賬戶(hù)信息是發(fā)給高德的服務(wù)器地址,我們認(rèn)為,這是一種比較明顯的,用戶(hù)賬號(hào)泄露的行為。”
轉(zhuǎn)載請(qǐng)注明出處:高德地圖郄建軍澄清:明文傳輸協(xié)議已在新版本中棄用 - 益眾網(wǎng)絡(luò)
