Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31433

開發的程式曝露FB Messenger漏洞,哈佛實習生遭臉書解聘

$
0
0

哈佛學生Aran Khanna指出,他因為在Facebook實習期間開發出一款可利用Facebook Messenger地理資訊以追蹤友人行蹤的Chrome擴充程式,結果遭到Facebook取消實習生資格。

這款擴充程式之所以讓Khanna失去實習生資格,是因為這款擴充程式擷取資料的方式利用到Facebook Messenger在地理資訊分享設計上的一個漏洞。而臉書認為他的資訊使用方式違反隱私權上的「高道德標準」。

Khanna解釋,Facebook Messenger的地理定位分享功能預設值會讓每一則傳送出的訊息分享使用者的所在地點資料。這個功能在2015年6月以前的Android版Messenger都是預設開啟,會蒐集並顯示使用者所有的通訊內容,包括和非友人在Facebook上的群組通話。在Messenger程式一開始下載時會有一則聲明,之後就只會在通話窗格旁一個藍色小點顯示它正在蒐集及分享使用者資料。

今年一月Khanna獲得Facebook實習機會時,撰寫了名為Marauders Map的Chrome擴充程式,當使用者以Chrome登入Facebook帳號後,就會開始偵測訊息頁的更新呼叫,並複製通話內容,再將內容相關的地點資料整合成電子地圖,藉此蒐集使用者的地理位置,精準度在1公尺以內。他並指出,其他人即使沒有這款擴充程式,點選地圖上關於訊息的標示也可以看見所有資料。

他在部落格文章展示如何利用Marauders Map追蹤到哥哥友人在史丹佛大學宿舍的精確位置,以及一周的行動蹤跡,這位友人只和他透過Messenger聊天,並非他的臉友。他並重申,他還是認為Facebook Messenger是很有用的工具,他也是忠實使用者,而且用戶畢竟還是可以選擇關閉,但他的朋友都對於自己的資訊曝光程度感到驚訝甚至震撼。

Khanna於5月底將Marauders Map上傳到Google Chrome Store,隨後幾天在Medium.com、Reddit及Hacker News等網站發表文章及URL,也在Github公開程式碼。這個程式最後有85,000次下載,並引發170多篇報導,Twitter上360萬次瘋傳。

5/27第一篇部落格文章公佈後,Facebook要求Khanna不得對媒體發言,並要求關閉Marauders Map,隨後Facebook關閉了Messenger網頁版的資料分享功能,使得這款程式無法使用,但是手機版Messenger程式還是預設開啟。文章發表後三天,Facebook以電話告知他取消了他的暑期實習機會,理由是他的擴充程式擷取網站資料的作法違反Facebook使用者協定。該公司人資及招聘部門並發出電子郵件,指其部落格文章未能反映實習生在使用者隱私上應有的「高道德標準」。

6月4日Facebook正式公佈更新版Messenger,地點資訊分享由預設改為自願加入,但新聞稿未提及之前的預設設定,以及資料被Facebook分享給了誰。但在2015年6月之前被分享的使用者資料依然可以被讀取,且未更新到最新版的Android及iOS Messenger用戶,其地點資訊分享功能也仍然是預設開啟。

Facebook並於6月底再更新特定市場的Messenger程式,開始允許特定地區的使用者以電話號碼登入Messenger服務,而不再強迫使用Facebook帳號。


Viewing all articles
Browse latest Browse all 31433

Trending Articles