举个例子,2022年,亚航(AirAsia)据称遭受了勒索软件攻击,其最终导致超过500万名乘客和员工的数据被盗。而就在2024年初,又有威胁行为者声称再次攻击了亚航。对于此次事件,马来西亚国家网络安全局(NACSA)表示,航空公司正在调查相关指控。
某信息技术领域的作家Paulina Okunytė表示,根据《Cybernews》的研究,全球各个区域的航空应用都会访问旅客设备中的敏感信息。“一般来说,航空公司会处理大量关于乘客的敏感数据。而随着大型航空公司逐渐成为了威胁行为者的重点关注对象,乘客数据的安全性也变得越发重要。”
Paulina说,2024年3月21日,美国交通运输部(DOT)宣布,将对美国十家最大的航空公司进行隐私审查,以确定他们是如何收集和处理乘客数据的。
另一方面,Paulina所介绍的《Cybernews》也对14款热门的航空应用进行了调查,其目的是为了了解这些应用会收集哪些数据。Paulina说:“根据深入调查显示,许多航空应用一旦被安装,就会对用户的手机和数据进行‘敏感访问’,而且并非所有航空公司都披露了这一点。”
此次调查的应用程序包括:
亚航(Air Asia)
土耳其航空(Turkish Airlines)
美国航空(American Airlines)
联合航空(United Airlines)
达美航空(Fly Delta)
瑞安航空(Ryanair)
精神航空(Spirit Airlines)
西南航空(Southwest Airlines)
边疆航空(Frontier Airlines)
阿拉斯加航空(Alaska Airlines)
新加坡航空(Singapore Airlines)
菲律宾航空(Philippine Airlines)
越南航空(Vietnam Airlines)
爱琴海航空(Aegean Airlines)
众所周知,航空公司已经掌握了大量的客户敏感数据,其包括护照信息、旅行路线,在某些情况下,其还包括了生物识别和医疗健康等相关数据。大多数航空公司都需要收集和处理这些客户数据,以更好地提供服务。
Paulina表示,Google Play商店要求航空公司APP开发者披露他们的应用是如何收集、共享和处理用户数据的,用户在下载应用前可以在“数据安全”页面找到这些信息。《Cybernews》检查了这些应用自己声明的“数据收集信息”,以确定哪些应用收集的数据最多或最少。
Paulina说:“调查结果显示,美国航空和联合航空收集的数据最多,菲律宾航空收集的数据点最少。同时,大多数航空应用都会将所收集到的用户数据与第三方共享。”
然而,Paulina指出,真正的问题在于,Google Play商店里,“数据安全”页面上的内容是由开发者自己手动填写的。也就是说,Google寄希望于应用开发者自己能诚实地向用户披露准确的信息。
《Cybernews》对以上所提及的14款航空应用进行了Android敏感权限测试,以检查这些应用是否可以访问用户位置、摄像头、存储、手机状态、麦克风、通讯录、设备账户、信息和通话等。
Paulina表示,这些权限都是极其敏感的,会请求这些权限的应用应提供明确的解释,说明自己为什么需要用户开放相关的访问权限,而用户也有权了解应用将如何使用这些权限和数据。
调查结果显示,并非所有应用都会在Google Play商店上,正确披露自己到底使用了用户哪些权限。根据Google的支持信息,应用权限列表中的信息可能与“数据安全”页面上的信息不同,原因有以下三点:
1)应用会访问数据是为了方便在设备上进行处理,但其不会收集或分享这些数据。
2)应用以不受权限管理的方式收集数据
3)权限列表中的服务或数据类型未涵盖在“数据安全”中。
对此,《Cybernews》已联系了各地航空公司,以知晓“为什么这些应用需要用户设备上的敏感权限”。但目前尚未收到回复。
Paulina说,位置权限被认为是高度敏感的,因为其涉及到了设备的精确位置信息,包括纬度和经度坐标。
然而,Paulina指出,请求访问精确位置的应用可以跟踪用户的移动,并形成详细的客户画像,甚至能推导出用户的家庭住址和工作地点。因此,如果这些数据落入不法之人的手中,很可能会危及用户的隐私和安全。
“对于所有测试过的应用,我们发现,它们都具备获取用户位置信息的权限。也就是说,所有这些航空公司的应用程序都能获取用户的精确位置信息。而大多数航空公司表示,他们定位用户主要是为了推广功能、个性化和服务。”
不幸的是,并非所有航空应用都披露了他们会收集乘客的位置信息。其中,瑞安航空(Ryanair)、达美航空(Fly Delta)和爱琴海航空(Aegean Airlines)就没有公开这一信息。而精神航空(Spirit Airlines)和边疆航空(Frontier Airlines)披露他们只收集用户的大致位置,尽管权限允许他们访问的是客户的精确位置。
根据Google Play商店上的信息,这些应用披露,他们会收集位置数据的原因如下:
1、亚航(Air Asia):应用功能、广告或营销、个性化
2、土耳其航空(Turkish Airlines):应用功能
3、美国航空(American Airlines):应用功能
4、联合航空(United Airlines):应用功能、分析、广告或营销、欺诈预防、安全和合规、个性化
5、精神航空(Spirit Airlines):分析、个性化(仅披露收集大致位置)
6、西南航空(Southwest Airlines):应用功能、个性化
7、边疆航空(Frontier Airlines):分析(仅披露收集大致位置)
8、阿拉斯加航空(Alaska Airlines):应用功能
9、新加坡航空(Singapore Airlines):应用功能、分析
10、菲律宾航空(Philippine Airlines):应用功能
11、越南航空(Vietnam Airlines):应用功能、欺诈预防、安全和合规
Paulina表示,相机权限允许应用与设备的相机进行交互,从而启用拍照、录制视频和进行视频通话等功能。“而在航空应用的上下文中,此权限会用于拍照并将照片提交给航空公司等环节,例如提交护照照片或其他文件给客服。然而,这样的流程是值得怀疑的。”
Paulina指出,在测试的14个航空应用中,有12个应用具有相机权限。然而,只有三家航空公司披露了他们会收集与相机相关的数据,并声称这是出于对安全和合规的考虑,而不得不使用的应用功能。其他航空公司并未披露这一点,但他们的应用中确实存在这一权限。
根据Google Play商店上的信息,航空应用披露,他们会收集相机数据的原因如下:
1、美国航空(American Airlines):应用功能、欺诈预防、安全和合规
2、联合航空(United Airlines):应用功能、分析、欺诈预防、安全和合规
3、瑞安航空(Ryanair):应用功能
未披露收集相机数据的航空公司应用:亚航(Air Asia)、达美航空(Fly Delta)、精神航空(Spirit Airlines)、西南航空(Southwest Airlines)、边疆航空(Frontier Airlines)、新加坡航空(Singapore Airlines)、越南航空(Vietnam Airlines)、爱琴海航空(Aegean Airlines)
Paulina表示,存储是第三个最被应用所需求的权限。在所测试的航空应用中,有11个应用可以读取和写入设备存储。
Paulina指出,应用可以访问的数据包括了用户的文件、照片、视频、文档和其他私人数据。如果该权限被恶意行为者利用,很可能会导致数据丢失和隐私泄露。
调查显示,只有三家航空公司披露他们会收集与文件相关的数据,并声称这是出于应用功能、分析和安全原因。其余九家航空公司并未提及他们可以访问用户手机存储。
根据Google Play商店上的信息,航空应用披露,他们需要访问手机存储的原因如下:
1、美国航空(American Airlines):应用功能、欺诈预防、安全和合规
2、联合航空(United Airlines):应用功能、分析、欺诈预防、安全和合规
3、瑞安航空(Ryanair):应用功能
未披露收集与存储相关数据的航空公司应用:精神航空(Spirit Airlines)、亚航(Air Asia)、西南航空(Southwest Airlines)、边疆航空(Frontier Airlines)、新加坡航空(Singapore Airlines)、越南航空(Vietnam Airlines)、爱琴海航空(Aegean Airlines)
其中,达美航空(Fly Delta)应用程序仅可读取存储不能改写。
Paulina表示,读取手机状态是航空应用中另一个广泛使用的权限。“调查发现,九个航空应用都具有此权限。读取手机状态信息也是敏感的,因为其允许应用访问可以识别设备和用户的数据。这些数据包括设备的电话号码、网络状态、网络运营商、IMEI码、SIM卡,以及互联网提供商的信息。所以,此权限一旦落入不法分子的手中,很可能会被用来嗅探设备上的通信内容。”
根据Google Play商店上的信息,航空应用披露,他们会收集手机状态数据的原因如下:
1、亚航(Air Asia):应用功能、分析、个性化
2、联合航空(United Airlines):应用功能、分析、开发者沟通、广告或营销、欺诈预防、安全和合规、个性化、账户管理
3、瑞安航空(Ryanair):欺诈预防、安全和合规
4、精神航空(Spirit Airlines):分析
5、西南航空(Southwest Airlines):应用功能、分析
6、边疆航空(Frontier Airlines):应用功能、分析、欺诈预防、安全和合规
7、新加坡航空(Singapore Airlines):分析、开发者沟通、广告或营销
8、越南航空(Vietnam Airlines):应用功能、广告或营销、欺诈预防、安全和合规、账户管理
Paulina介绍,麦克风权限通常能录制音频。如果其被不法分子利用,很可能会导致未经授权的监控,比如捕获敏感对话信息和个人信息等。“当然,其也很可能被用于未经同意的营销。”
调查发现,有四个航空应用具有此权限,但没有任何一家航空公司在Play商店上披露这一点。这四个航空应用分别为:亚航(Air Asia)、联合航空(United Airlines)、瑞安航空(Ryanair)、新加坡航空(Singapore Airlines)
Paulina说,每个人的通讯录信息必定是敏感的,因为其包含了朋友、家人、同事和其他私人信息,比如姓名、电话号码、电子邮件地址和各种联系方式等。“因此,如果此权限被滥用,很可能会导致不必要的数据抓取、侵犯用户隐私,甚至可能被用于策划各种欺诈行为。”比如国内的电信诈骗。
调查发现,有三款航空应用可以访问用户设备上的通讯录列表及相关信息。Paulina表示,这是非常令人担忧的,因为航空公司完全不需要访问用户的通讯录信息,同时应用开发者也没有披露此权限的存在。
在Google Play商店上,未披露会收集通讯录相关数据,但具有此访问权限的航空公司分别为:亚航(Air Asia)、土耳其航空(Turkish Airlines)、越南航空(Vietnam Airlines)
Paulina介绍,应用程序获取账户权限,即代表此应用允许访问与设备关联的用户账户。“这意味着应用可以检索设备上所注册的账户列表,包括电子邮件地址,例如Google、Meta、Samsung和其他账户。而对于航空应用来说,这种权限不是其功能所必需的,同时其可能存在隐私和安全风险。一般而言,账户信息会包含电子邮件地址、用户名和账户标识符等敏感数据。这些信息可以识别个人身份,并与用户的在线身份相关联。”
Paulina强调,访问用户账户等同于侵犯用户隐私,因为其可以揭示用户的在线状态、通信渠道,以及可能存在的敏感账户数据。
此外,Paulina还指出了,有三家航空公司拥有一个多余的权限,即在不披露的情况下,他们的应用能访问用户设备上的短信和通话记录。换句话说,具有此类权限的应用可以代表用户发送短信或拨打电话。
具有访问短信和通话功能,但未披露的航空公司分别为土耳其航空(Turkish Airlines)、联合航空(United Airlines)、精神航空(Spirit Airlines)
大数据时代下,敏感权限的滥用会给用户带来不可想象的后果,而其中最大的风险就是隐私侵犯,其不但会对个人造成身心伤害,还会对企业安全、社会安全、国家安全产生极大的威胁。因此,应用权限的维护和管控是当前的重中之重,这也是造成未经授权访问、身份盗窃或数据泄露风险的主要原因之一。
此外,滥用权限或消耗过多资源的应用也可能会对设备性能产生负面影响,比如其会导致设备变慢、崩溃或电池寿命变短等负面影响。个人建议,在允许应用访问之前,应时刻审查权限请求,特别是那些对应用预期功能来说不必要的权限。
而对于航空公司,或说对于各行各业的企业而言,无论从监管层面上还是从道德层面上,会请求用户权限的企业应用都有责任将数据保护制度完善,其包括了相应的披露制度。而企业层面只需要完善管理流程,增加相应预算,就可以在很大程度上规避“因过多权限请求”而造成的数据泄露风险。换言之,从企业层面上规避风险的成本要远远低于个人规避危险的成本,因此,企业才是承担和避免数据风险的主体。
当然,对于个人隐私、数据安全而言,个体、组织缺一不可,只有大家对安全实施的信念保持一致,隐私问题才能在根本上得以解决。
https://cybernews.com/security/airlines-apps-data-collection/
原文始发于微信公众号(安在):航空公司收集的个人隐私远超想象
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论