釘釘打卡遭破解,手機定位系高風險權限易致隱私泄露
2020年05月15日23:32

  原標題:釘釘打卡遭破解,手機定位系高風險權限易導致隱私泄露

  釘釘打卡功能正面臨破解難題。5月13日,記者在北京市東城區打開一款破解軟件,通過虛擬位置設定,順利將釘釘打卡的位置設置到1200公裡外的上海。遠程打卡幾秒鍾便實現了。

  作為當下職場的熱門應用,釘釘的用戶數已經超過2億,大量企業使用釘釘記錄員工的考勤情況。但新京報記者調查發現,釘釘打卡的破解軟件充斥網絡,下載破解軟件後按照操作教程的指引,即可任意設定位置併成功打卡。

  多名商家稱,此類軟件對用戶沒有任何風險,但網絡安全專家告訴新京報記者商傢俬自開發的“虛擬定位”軟件大多未經專業技術檢測,使用者的個人信息處於極大的風險之中。

  “手機定位這一權限是高風險權限,對方獲取之後,很有可能導致個人隱私的泄露。”專家稱。

在QQ搜索“釘釘代打卡”時出現的銷售群。網頁截圖
在QQ搜索“釘釘代打卡”時出現的銷售群。網頁截圖

  添加位置即能實現異地打卡

  新京報記者在網絡輸入“釘釘”、“打卡”、“遠程”等關鍵詞,可以搜索到多個相關結果。此前,記者在淘寶網上發現,該平台出現多個售賣釘釘破解軟件的商家。

  新京報記者聯繫上其中一名商家後,按照正常程序下單,隨後便收到客服人員的微信號。記者添加微信後,對方表示可提供遠程打卡及代簽到服務。

  客服人員向記者發送多條信息,包括價目表、操作教程視頻、下載鏈接。價目表顯示,“釘釘打卡價格為一個月55元,一年198元”。

  記者根據對方發送的鏈接,下載了一款名為“全球通”的軟件。點開軟件,首先出現驗證碼輸入頁面。客服人員提到,用戶可按照自己的意願,選擇軟件使用時長,支付費用後才可以獲取驗證碼。

  記者按照操作教程獲取驗證碼後進入軟件界面。軟件下方是一個“添加應用”的按鈕,記者將釘釘添加到頁面後,再輸入需要打卡的位置便操作完畢。

  5月13日,記者在北京朝陽區勁鬆一帶時,通過上述軟件將打卡位置設定為東城區磁器口,點擊打卡後,異地遠程打卡輕鬆實現。

  商家承認破解軟件系“灰色”產品

  “有新加坡的,有馬來西亞的。”多位破解軟件的售賣者介紹,他們的客戶群體分佈十分廣泛,除了國內市場業務外,還發展海外業務。

  一名商家告訴新京報記者,國內客戶既有普通企業的職員,也有機關單位工作人員。“機關單位的人十分謹慎,他們對保密性要求很高,所以我們的產品是有保證的。”

  該商家介紹稱,他售賣的打卡軟件分蘋果版與安卓版兩種,安卓版只需下載軟件,蘋果版則需購買一款類似U盤插頭,使用時需要把插頭插入手機充電口。

  在軟件運行原理方面,這名商家表示,安卓版相當於下載了一個破解版的釘釘,而蘋果版則是使用了軟件提供的虛擬位置。

  一名商家在展示蘋果手機專用的破解裝置。網頁截圖

  購買軟件的方式有買斷和租用兩種。買斷軟件可以享受無限次打卡服務,價格是350元;租用軟件每個月需要支付120元。如遇軟件升級,用戶還需另付數十元升級費才可繼續使用。

  這位商家保證,軟件升級後,舊版軟件仍能使用,只不過性能不如新版。“所以建議客戶還是及時付費升級,我們開發軟件的投入也很大”。

  另一位商家則介紹,在目前火爆的市場需求下,他們已經實現工廠流水線生產,軟件的質量也相對有保證。他進一步推銷稱,如果一次拿10套以上,每套可優惠150元;一次拿20套以上,每套優惠可達200元。

  破解軟件是否會導致用戶個人信息泄露?對方十分肯定地表示,不會竊取用戶個人信息。“做虛擬位置服務是合法的,是正常業務,如要竊取個人信息,團隊得增加大量人力物力,而且竊取個人信息是違法犯罪行為,根本沒必要去冒險。”

  這名商家同時也坦承說,破解軟件具有“灰色性質”。“這是上不了檯面的東西,因此不能在一些網購平台公開售賣”。對於軟件的開發公司、研發時常及工作原理,對方諱莫如深,並未向記者透露。

  專家稱代打卡軟件存安全風險

  雖然受訪的多位商家堅稱打卡軟件十分安全,但在專家看來,類似的破解軟件存在很大風險。

  一位不願具名的網絡安全專家表示,使用此類軟件時,個人信息泄露風險極大。手機定位這一權限是高風險權限,對方獲取之後,很有可能導致個人隱私的泄露。

  一位商家在網上展示蘋果手機專用的破解裝置。網頁截圖

  專家透露,通過蘋果係統下載軟件,必須通過官方市場認證。根據商家的描述,破解軟件不太可能通過官方市場下載,因此,認證的證書可能是企業級證書。“使用企業級證書導致安全等級降低,如果開發者還使用這個企業證書開發了其他軟件,對於手機用戶的信息竊取風險便不可避免。”

  專家表示,如果此類軟件僅僅定位而沒有竊取信息,嚴格來講並不違法,但卻違反了誠信原則。員工使用此破解軟件是使用欺騙手段使自己背上道德風險,一旦公司追究此事,一切後果只能由使用者承擔。

  “如果某些公司有意去查證某個員工的打卡記錄,從技術上並不難實現,因此不建議大家使用。”專家稱。

  今晚,新京報記者通過釘釘客服諮詢防止簽到作弊的問題。對方回應稱,對於使用惡意打卡軟件問題,管理員可以在安全設置中開啟“禁止惡意軟件打卡”功能。這樣一來,下載虛擬定位軟件之後,這些軟件就會對釘釘考勤的定位進行影響,打卡時便需要人臉識別驗證或禁止打卡。

  另外,客服回應稱,釘釘一直在不斷優化,防止簽到不準和簽到作弊。主要方法有:簽到設備提示,即系統自動判斷當前設備和上一次設備是否一致;後台導出簽到報表會記錄設備號,若使用不同手機簽到則設備號不同。另外,若安卓手機開啟地點模擬功能,則不允許簽到。

  新京報記者 盧通 倪兆中

關注我們Facebook專頁
    相關新聞
      更多瀏覽