“三年,再见。” 2022年12月13日0时,陪伴我们1034天的“通讯行程卡”正式下线。 很多朋友在午夜前截屏留作纪念。 与此同时,一项名为“行程卡纪念版”的新服务也火爆了朋友圈。 它依托微信小程序和微信公众号供用户使用。 这件事情更是冲上了微博热搜。 12月15日,天目新闻记者发现,多个微信公众号陆续发文开通服务,号称“全网红”、“3秒免费生成”、“记录近三年去过的地方”。多年与一张照片”等。
对此,天目新闻记者也进行了尝试,但发现很多相关的小程序都被停用了。 随后,记者关注了几个微信公众号,在后台回复了“日程卡片”,随后收到了一个链接。 值得注意的是,目前该链接并非直接通过手机注册生成图片,而是需要手动添加近三年内去过或去过的地方。 记者选择近三年去过的城市,点击“下一步”,生成纪念版行程卡。
那么,“行程卡纪念版”合规吗? 生成逻辑是什么? 有没有安全隐患? 对此,天目新闻记者采访了浙江警察学院计算机与安全系主任周国民。
各大微信公众号陆续开通“行程卡纪念版”服务
《行程卡纪念版》为非官方产品
天目新闻:“行程卡纪念版”主要采用了哪些技术? 生成逻辑是什么?
周国民:抗击疫情三年,党、国家和人民为抗击疫情付出了无数努力。 通信行程卡是最初用于支持疫情防控的技术手段之一。 各大公众号在离线状态下使用行程卡引流是不合适的,可能会造成不必要的误导行程卡纪念版违规,比如将此“纪念版行程卡”误认为是官方的,会收集个人信息等作为用户的行程轨迹。 隐私信息。
昨天第一次打开相关小程序没有问题,可以正常生成。 结果后来几次都打不开。 原因是打开的用户太多,导致拥堵。 吸引了大量的用户流量。
“行程卡纪念版”依托于中国流行的社交应用程序微信。 用户无需下载和安装该应用程序。 他们只需在微信上扫描、搜索或分享链接即可打开应用,使用后退出。 卸载节省了用户移动端的存储空间。 它更受欢迎,因为它可以很容易地获得和传播。
进入相关小程序或者点击链接,大家发现其实是用户添加城市名称。 显示2020-2022这三年到达或旅行过的城市后,不需要用户填写手机号或验证码,所以不是突破官方通讯行程卡的后台,主要是因为生成的行程卡界面UI和官方的差不多,可能会比较混乱。
天目新闻:用户在使用过程中可能会怎样泄露信息? 是否存在信息泄露以外的隐患?
周国民:小程序不需要用户填写手机号码和验证码。 显示到达的城市均为用户自行填写,不查询官方路线数据库,不查询实时动态感知。 但从用户无意中配合填写的城市信息中,后台可能会从社会工程学的角度收集到一些有用的信息。 当然行程卡纪念版违规,在这些小程序或APP运行的背后,如果存在恶意、非法或偷偷收集手机敏感信息的行为,则更加危险。
但是目前如果想从手机端获取相关权限,需要用户确认,所以用户需要在授权的时候判断应用是否需要这个权限,然后判断是否开启。 从实际情况来看,有些应用比较“霸道”,会强制开启权限,但如果有不授权的选项,就会死机或无法使用。 这些应用程序需要加强。 监督。
说到安全隐患,从用户填写到达城市的角度来看,如果用户真的要生成自己实际去过的城市的纪念照,会认真填写过去三年去过的所有城市,甚至按下到达按钮。 或者段落的时间顺序,后台可以根据社交账号、登录IP、性别等多维属性,利用这些信息进一步分析用户的情况,比如可能的职业,去过的城市分布、平台类型、设备、网络类型等进行数据分析和画像。
即便有些人没有全部填写,也更有可能填写自己所在的城市、家乡,或者想去但没去过的地方,后台可能会同时结合其他数据,获取更多用户信息。 许多免费的小程序,如表单统计、投票、签到、多人协作在线文档等,不仅为用户提供了便利,也方便了后台的数据收割。 这些个人隐私信息的泄露,至少可能导致精准广告的推送,或为厂商改进和开发产品提供样品; 最严重的,更有可能被“人肉搜索”,甚至从虚拟网络世界的电子诈骗,演变为现实中的跟踪、勒索、绑架等。
旅游卡纪念版
微信需要加强审查
天目新闻:这样的小程序合规吗? 如果没有,是否有办法防止这种情况发生?
周国民:目前,相关小程序涉嫌混淆官方服务功能,存在违规行为,已暂停服务。 对应其规则,恶意混淆其由相关政府机关、事业单位、社会团体等组织开发运营的,属于违反《微信小程序平台运营规范》5.14混淆行为中5.14.2的行为(无论该组织是否真实存在)规定。 处理规则是,一经发现,将根据违规程度对小程序进行限制或封禁。
但相关小程序未按照违反隐私保护规范进行处理,表明其不应未经用户同意使用数据收集,未过度请求授权或强制用户授权收集用户隐私,违反隐私规定规定,但城市信息是用户自愿的。 配合填写。
要杜绝这种现象,需要多方面的配合。 一是政府相关部门的监管和相关规范制度的约束,做好顶层设计; 二是微信公众平台运营中心需要进一步加强对小程序的审核; 三、通过用户举报和投诉等方式进行反馈。
天目新闻:个人可以开发微信小程序吗? 微信是否负责监控安全漏洞? 目前是怎么监管的,怎么监管的?
周国民:个人可以开发微信小程序。 在微信平台注册,验证手机号,填写姓名,身份证号,要开发的小程序名称和介绍,注册后下载开发者工具,使用开发者工具开发完成后小程序程序,将小程序上传到微信平台,等待微信审核,符合规范后发布小程序,然后通过二维码、链接等方式分享给用户,或者用户搜索小程序。
对于用户隐私和数据安全,微信负责监管。 微信要求开发者采用实名制,便于追溯监管。 相应制定了《微信小程序平台运营规范》、《微信小程序平台服务条款》等规则,包括《用户隐私及数据规范》、《用户个人信息保护》等条款。微信小程序平台”,对用户隐私和数据安全有相关规定。
从微信监管方式来看,由于微信小程序数量庞大,完全依靠人工监管是不现实的。 后台可能主要采用机器自动识别关键词、图片比对等自动化方式,按照规章制度进行筛选,然后人工审核。 从监管效果来看,明显违规的常用小程序相对较少。 估计是这种绕边玩的小程序没有被机器屏蔽掉,可能已经被用户举报关掉了。