航空公司收集的个人隐私远超想象

admin 2024年4月18日19:42:32评论10 views字数 6280阅读20分56秒阅读模式

航空公司收集的个人隐私远超想象

科技飞速发展的时代下,纸质机票正逐渐退出历史舞台,同时航空应用已成为了人们旅行时不可或缺的线上工具。我们可以看到,全球几乎所有的航空公司都拥有自己的移动应用,其初衷是为了向客户提供所谓的快速登机、快速购票和预订服务,但让人遗憾的是,这些应用程序可能会侵犯用户的隐私,并带来相应的网络安全风险。

举个例子,2022年,亚航(AirAsia)据称遭受了勒索软件攻击,其最终导致超过500万名乘客和员工的数据被盗。而就在2024年初,又有威胁行为者声称再次攻击了亚航。对于此次事件,马来西亚国家网络安全局(NACSA)表示,航空公司正在调查相关指控。

某信息技术领域的作家Paulina Okunytė表示,根据《Cybernews》的研究,全球各个区域的航空应用都会访问旅客设备中的敏感信息。“一般来说,航空公司会处理大量关于乘客的敏感数据。而随着大型航空公司逐渐成为了威胁行为者的重点关注对象,乘客数据的安全性也变得越发重要。”

Paulina说,2024年3月21日,美国交通运输部(DOT)宣布,将对美国十家最大的航空公司进行隐私审查,以确定他们是如何收集和处理乘客数据的。

另一方面,Paulina所介绍的《Cybernews》也对14款热门的航空应用进行了调查,其目的是为了了解这些应用会收集哪些数据。Paulina说:“根据深入调查显示,许多航空应用一旦被安装,就会对用户的手机和数据进行‘敏感访问’,而且并非所有航空公司都披露了这一点。”

此次调查的应用程序包括:

亚航(Air Asia)

土耳其航空(Turkish Airlines)

美国航空(American Airlines)

联合航空(United Airlines)

达美航空(Fly Delta)

瑞安航空(Ryanair)

精神航空(Spirit Airlines)

西南航空(Southwest Airlines)

边疆航空(Frontier Airlines)

阿拉斯加航空(Alaska Airlines)

新加坡航空(Singapore Airlines)

菲律宾航空(Philippine Airlines)

越南航空(Vietnam Airlines)

爱琴海航空(Aegean Airlines)

航空公司收集的个人隐私远超想象

航空应用披露了哪些数据收集?

众所周知,航空公司已经掌握了大量的客户敏感数据,其包括护照信息、旅行路线,在某些情况下,其还包括了生物识别和医疗健康等相关数据。大多数航空公司都需要收集和处理这些客户数据,以更好地提供服务。

Paulina表示,Google Play商店要求航空公司APP开发者披露他们的应用是如何收集、共享和处理用户数据的,用户在下载应用前可以在“数据安全”页面找到这些信息。《Cybernews》检查了这些应用自己声明的“数据收集信息”,以确定哪些应用收集的数据最多或最少。

Paulina说:“调查结果显示,美国航空和联合航空收集的数据最多,菲律宾航空收集的数据点最少。同时,大多数航空应用都会将所收集到的用户数据与第三方共享。”

然而,Paulina指出,真正的问题在于,Google Play商店里,“数据安全”页面上的内容是由开发者自己手动填写的。也就是说,Google寄希望于应用开发者自己能诚实地向用户披露准确的信息。

设备上风险较高的应用权限
航空公司收集的个人隐私远超想象
“因此,Play商店里的‘数据安全’披露并不能完全反映应用可能收集到的数据,因为它没有披露应用在设备上的权限。我们知道,设计精良的应用更注重权限问题,这才是所要披露的关键信息。所以,用户对应用进行授权时应时刻保持谨慎,并仔细审查每个环节。”

《Cybernews》对以上所提及的14款航空应用进行了Android敏感权限测试,以检查这些应用是否可以访问用户位置、摄像头、存储、手机状态、麦克风、通讯录、设备账户、信息和通话等。

Paulina表示,这些权限都是极其敏感的,会请求这些权限的应用应提供明确的解释,说明自己为什么需要用户开放相关的访问权限,而用户也有权了解应用将如何使用这些权限和数据。

调查结果显示,并非所有应用都会在Google Play商店上,正确披露自己到底使用了用户哪些权限。根据Google的支持信息,应用权限列表中的信息可能与“数据安全”页面上的信息不同,原因有以下三点:

1)应用会访问数据是为了方便在设备上进行处理,但其不会收集或分享这些数据。

2)应用以不受权限管理的方式收集数据

3)权限列表中的服务或数据类型未涵盖在“数据安全”中。

对此,《Cybernews》已联系了各地航空公司,以知晓“为什么这些应用需要用户设备上的敏感权限”。但目前尚未收到回复。

航空应用程序可以访问用户的位置

Paulina说,位置权限被认为是高度敏感的,因为其涉及到了设备的精确位置信息,包括纬度和经度坐标。

航空公司收集的个人隐私远超想象
“位置信息可能对于航空应用程序来说是必要的,因为其可以支持航班搜索。同时,物理位置跟踪对于机票优惠、航空服务和其他相关信息也很有用。再者,大多数航空公司都会推广租车、住宿和其他度假服务,因此精确的位置信息对于定向广告非常有价值。”

然而,Paulina指出,请求访问精确位置的应用可以跟踪用户的移动,并形成详细的客户画像,甚至能推导出用户的家庭住址和工作地点。因此,如果这些数据落入不法之人的手中,很可能会危及用户的隐私和安全。

航空公司收集的个人隐私远超想象

“对于所有测试过的应用,我们发现,它们都具备获取用户位置信息的权限。也就是说,所有这些航空公司的应用程序都能获取用户的精确位置信息。而大多数航空公司表示,他们定位用户主要是为了推广功能、个性化和服务。”

航空公司收集的个人隐私远超想象

不幸的是,并非所有航空应用都披露了他们会收集乘客的位置信息。其中,瑞安航空(Ryanair)、达美航空(Fly Delta)和爱琴海航空(Aegean Airlines)就没有公开这一信息。而精神航空(Spirit Airlines)和边疆航空(Frontier Airlines)披露他们只收集用户的大致位置,尽管权限允许他们访问的是客户的精确位置。

根据Google Play商店上的信息,这些应用披露,他们会收集位置数据的原因如下:

1、亚航(Air Asia):应用功能、广告或营销、个性化

2、土耳其航空(Turkish Airlines):应用功能

3、美国航空(American Airlines):应用功能

4、联合航空(United Airlines):应用功能、分析、广告或营销、欺诈预防、安全和合规、个性化

5、精神航空(Spirit Airlines):分析、个性化(仅披露收集大致位置)

6、西南航空(Southwest Airlines):应用功能、个性化

7、边疆航空(Frontier Airlines):分析(仅披露收集大致位置)

8、阿拉斯加航空(Alaska Airlines):应用功能

9、新加坡航空(Singapore Airlines):应用功能、分析

10、菲律宾航空(Philippine Airlines):应用功能

11、越南航空(Vietnam Airlines):应用功能、欺诈预防、安全和合规

访问相机权限

Paulina表示,相机权限允许应用与设备的相机进行交互,从而启用拍照、录制视频和进行视频通话等功能。“而在航空应用的上下文中,此权限会用于拍照并将照片提交给航空公司等环节,例如提交护照照片或其他文件给客服。然而,这样的流程是值得怀疑的。”

Paulina指出,在测试的14个航空应用中,有12个应用具有相机权限。然而,只有三家航空公司披露了他们会收集与相机相关的数据,并声称这是出于对安全和合规的考虑,而不得不使用的应用功能。其他航空公司并未披露这一点,但他们的应用中确实存在这一权限。

根据Google Play商店上的信息,航空应用披露,他们会收集相机数据的原因如下:

1、美国航空(American Airlines):应用功能、欺诈预防、安全和合规

2、联合航空(United Airlines):应用功能、分析、欺诈预防、安全和合规

3、瑞安航空(Ryanair):应用功能

未披露收集相机数据的航空公司应用:亚航(Air Asia)、达美航空(Fly Delta)、精神航空(Spirit Airlines)、西南航空(Southwest Airlines)、边疆航空(Frontier Airlines)、新加坡航空(Singapore Airlines)、越南航空(Vietnam Airlines)、爱琴海航空(Aegean Airlines)

访问存储权限

Paulina表示,存储是第三个最被应用所需求的权限。在所测试的航空应用中,有11个应用可以读取和写入设备存储。

航空公司收集的个人隐私远超想象
“航空应用会访问存储可能是用于下载登机牌或与其他航空公司服务相关。然而,访问设备存储的权限是非常敏感的,因为它赋予了应用写入和修改设备外部存储数据的能力,其包括了SD卡和其他外部存储。”

Paulina指出,应用可以访问的数据包括了用户的文件、照片、视频、文档和其他私人数据。如果该权限被恶意行为者利用,很可能会导致数据丢失和隐私泄露。

调查显示,只有三家航空公司披露他们会收集与文件相关的数据,并声称这是出于应用功能、分析和安全原因。其余九家航空公司并未提及他们可以访问用户手机存储。

根据Google Play商店上的信息,航空应用披露,他们需要访问手机存储的原因如下:

1、美国航空(American Airlines):应用功能、欺诈预防、安全和合规

2、联合航空(United Airlines):应用功能、分析、欺诈预防、安全和合规

3、瑞安航空(Ryanair):应用功能

未披露收集与存储相关数据的航空公司应用:精神航空(Spirit Airlines)、亚航(Air Asia)、西南航空(Southwest Airlines)、边疆航空(Frontier Airlines)、新加坡航空(Singapore Airlines)、越南航空(Vietnam Airlines)、爱琴海航空(Aegean Airlines)

其中,达美航空(Fly Delta)应用程序仅可读取存储不能改写。

读取手机状态

Paulina表示,读取手机状态是航空应用中另一个广泛使用的权限。“调查发现,九个航空应用都具有此权限。读取手机状态信息也是敏感的,因为其允许应用访问可以识别设备和用户的数据。这些数据包括设备的电话号码、网络状态、网络运营商、IMEI码、SIM卡,以及互联网提供商的信息。所以,此权限一旦落入不法分子的手中,很可能会被用来嗅探设备上的通信内容。”

根据Google Play商店上的信息,航空应用披露,他们会收集手机状态数据的原因如下:

1、亚航(Air Asia):应用功能、分析、个性化

2、联合航空(United Airlines):应用功能、分析、开发者沟通、广告或营销、欺诈预防、安全和合规、个性化、账户管理

3、瑞安航空(Ryanair):欺诈预防、安全和合规

4、精神航空(Spirit Airlines):分析

5、西南航空(Southwest Airlines):应用功能、分析

6、边疆航空(Frontier Airlines):应用功能、分析、欺诈预防、安全和合规

7、新加坡航空(Singapore Airlines):分析、开发者沟通、广告或营销

8、越南航空(Vietnam Airlines):应用功能、广告或营销、欺诈预防、安全和合规、账户管理

航空公司收集的个人隐私远超想象

访问麦克风权限

Paulina介绍,麦克风权限通常能录制音频。如果其被不法分子利用,很可能会导致未经授权的监控,比如捕获敏感对话信息和个人信息等。“当然,其也很可能被用于未经同意的营销。”

调查发现,有四个航空应用具有此权限,但没有任何一家航空公司在Play商店上披露这一点。这四个航空应用分别为:亚航(Air Asia)、联合航空(United Airlines)、瑞安航空(Ryanair)、新加坡航空(Singapore Airlines)

访问通讯录权限

Paulina说,每个人的通讯录信息必定是敏感的,因为其包含了朋友、家人、同事和其他私人信息,比如姓名、电话号码、电子邮件地址和各种联系方式等。“因此,如果此权限被滥用,很可能会导致不必要的数据抓取、侵犯用户隐私,甚至可能被用于策划各种欺诈行为。”比如国内的电信诈骗。

调查发现,有三款航空应用可以访问用户设备上的通讯录列表及相关信息。Paulina表示,这是非常令人担忧的,因为航空公司完全不需要访问用户的通讯录信息,同时应用开发者也没有披露此权限的存在。

在Google Play商店上,未披露会收集通讯录相关数据,但具有此访问权限的航空公司分别为:亚航(Air Asia)、土耳其航空(Turkish Airlines)、越南航空(Vietnam Airlines)

瑞安航空可以访问设备上的账户数据

Paulina介绍,应用程序获取账户权限,即代表此应用允许访问与设备关联的用户账户。“这意味着应用可以检索设备上所注册的账户列表,包括电子邮件地址,例如Google、Meta、Samsung和其他账户。而对于航空应用来说,这种权限不是其功能所必需的,同时其可能存在隐私和安全风险。一般而言,账户信息会包含电子邮件地址、用户名和账户标识符等敏感数据。这些信息可以识别个人身份,并与用户的在线身份相关联。”

Paulina强调,访问用户账户等同于侵犯用户隐私,因为其可以揭示用户的在线状态、通信渠道,以及可能存在的敏感账户数据。

部分航空公司可能代替用户发送信息

此外,Paulina还指出了,有三家航空公司拥有一个多余的权限,即在不披露的情况下,他们的应用能访问用户设备上的短信和通话记录。换句话说,具有此类权限的应用可以代表用户发送短信或拨打电话。

航空公司收集的个人隐私远超想象
“如果其被不法分子滥用,可能会导致隐私泄露和短信欺诈,这对用户来说都是潜在的伤害。”

具有访问短信和通话功能,但未披露的航空公司分别为土耳其航空(Turkish Airlines)、联合航空(United Airlines)、精神航空(Spirit Airlines)

编者说

大数据时代下,敏感权限的滥用会给用户带来不可想象的后果,而其中最大的风险就是隐私侵犯,其不但会对个人造成身心伤害,还会对企业安全、社会安全、国家安全产生极大的威胁。因此,应用权限的维护和管控是当前的重中之重,这也是造成未经授权访问、身份盗窃或数据泄露风险的主要原因之一。

此外,滥用权限或消耗过多资源的应用也可能会对设备性能产生负面影响,比如其会导致设备变慢、崩溃或电池寿命变短等负面影响。个人建议,在允许应用访问之前,应时刻审查权限请求,特别是那些对应用预期功能来说不必要的权限。

而对于航空公司,或说对于各行各业的企业而言,无论从监管层面上还是从道德层面上,会请求用户权限的企业应用都有责任将数据保护制度完善,其包括了相应的披露制度。而企业层面只需要完善管理流程,增加相应预算,就可以在很大程度上规避“因过多权限请求”而造成的数据泄露风险。换言之,从企业层面上规避风险的成本要远远低于个人规避危险的成本,因此,企业才是承担和避免数据风险的主体。

当然,对于个人隐私、数据安全而言,个体、组织缺一不可,只有大家对安全实施的信念保持一致,隐私问题才能在根本上得以解决。

原文地址:

https://cybernews.com/security/airlines-apps-data-collection/

作者:Paulina Okunytė  某信息技术领域的作家

原文始发于微信公众号(安在):航空公司收集的个人隐私远超想象

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月18日19:42:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   航空公司收集的个人隐私远超想象https://cn-sec.com/archives/2670329.html

发表评论

匿名网友 填写信息