信息來源:FreeBuf
美國聯(lián)邦貿(mào)易委員會(FTC)禁止三個“跟蹤軟件”銷售,除非開發(fā)人員可以證明其合法使用�����。該案是FTC首次打擊“跟蹤軟件”的舉措,這類軟件安裝在設(shè)備上可以跟蹤設(shè)備所有者的位置�����、活動等����。
這些應(yīng)用程序來自一家名為Retina-X Studios軟件制造商公司,該公司負責人是James N. Johns Jr.���。該公司業(yè)務(wù)主要是提供監(jiān)視員工和兒童的軟件�。
FTC表示�,除非開發(fā)人員能夠證明這些應(yīng)用程序用于“合法目的”,否則這三個應(yīng)用程序均被禁止�。此外,鑒于在過去的三年中出現(xiàn)的兩次安全漏洞事件�����,F(xiàn)TC要求這些應(yīng)用程序的開發(fā)人員加強安全防御措施����。
對于周二的聲明���,F(xiàn)TC消費者保護局負責人Andrew Smith表示,“對于所謂的“跟蹤軟件”���,這是我們采取的第一個動作���。盡管可能有合理的理由跟蹤手機,但這些應(yīng)用程序在后臺秘密運行�����,特別容易淪為非法和危險用途����。在這種情況下,我們將讓應(yīng)用開發(fā)人員對應(yīng)用程序負責�。”
其中����,三個Retina-X應(yīng)用程序受到特別審查�,即用于監(jiān)視員工和兒童的MobileSpy,以及用于監(jiān)視兒童使用的移動設(shè)備的PhoneSheriff和TeenShield���。
2018年該公司停售這三個跟蹤應(yīng)用程序之前���,就已經(jīng)售出了超過15000次���。一旦安裝后,該軟件將跟蹤設(shè)備用戶的地理位置和在線活動���。
這些應(yīng)用違反了《兒童在線隱私保護法》(COPPA)���,該法要求運營商確保他們從13歲以下兒童那里收集到的信息安全,以及FTC法案禁止不公平和欺騙性的行為�。
這些應(yīng)用程序構(gòu)成了重大的隱私風(fēng)險,且它們不會通知用戶設(shè)備中已經(jīng)安裝了這些軟件�����,這具有可怕的安全隱患����。如果要安裝這些應(yīng)用程序,則要求購買者繞過移動設(shè)備制造商的限制���,這會讓設(shè)備遭受安全漏洞利用的攻擊���。
另外����,Retina-X不對從設(shè)備收集的信息本身(GPS位置�,短信等)負責。該公司將其大部分產(chǎn)品的開發(fā)和維護工作外包給第三方�����,并且“未能實施合理的信息安全政策和程序�����,對其移動應(yīng)用程序進行安全測試�,對服務(wù)提供商進行充分監(jiān)督?��!?/span>
正是因為如此�����,在2017年至2018年之間�,出現(xiàn)了兩次安全漏洞事件����,使黑客可以訪問Retina-X的云存儲帳戶并刪除某些信息。
黑客訪問了通過PhoneSheriff和TeenShield應(yīng)用收集的數(shù)據(jù)�,包括登錄用戶名、加密的登錄密碼���、短信�����、GPS位置����、聯(lián)系人和照片����。而公司和Johns一直對此一無所知,直到2017年4月一名新聞記者聯(lián)系告知���,那時他們才知道黑客的第一次入侵�。
因此�,F(xiàn)TC規(guī)定,Retina-X必須要求購買者聲明����,他們只將這些應(yīng)用程序用于監(jiān)視孩子或雇員���,或提供書面同意的其他成年人。這些應(yīng)用程序還必須在移動設(shè)備上包含一個帶有應(yīng)用程序名稱的圖標�,該圖標只能由安裝在未成年人手機上的父母或法定監(jiān)護人移除。最后�����,公司必須實施適當?shù)陌踩胧?,包括每兩年一次獲取其信息安全計劃的第三方評估。
