使用逆向工程分析 WeChat 的跟踪生态系统:应用程序在执行小程序时记录和跟踪用户行为,存在隐私风险
主要发现(编注:下文中的“我们”均指本文撰写方 Citizen Lab ):
• 这项工作对WeChat的跟踪生态系统进行了首次分析。使用逆向工程方法拦截WeChat的网络请求,我们准确地确定了WeChat应用程序向其服务器发送的数据类型以及时间。
• 在使用WeChat的核心功能(例如消息或朋友圈)期间,网络请求通常包含应用程序功能所需的数据,而不是更多;这符合WeChat针对非中国大陆电话号码的隐私政策。
• 我们发现最细粒度的活动跟踪数据是在小程序执行期间发送的。所有小程序及其用户都被纳入使用跟踪,这意味着小程序中的大量用户活动都会发送到WeChat,而不仅仅是小程序开发者本身。
• 小程序与宿主WeChat平台的权限边界不明确。其结果是,我们发现在小程序使用过程中授予位置权限等权限也会使更多的地理位置数据传输到WeChat。
• 我们发现WeChat隐私政策的披露差距,这意味着只有第三方收集与小程序相关的使用数据,而事实上,WeChat也收集这些数据。
• WeChat中的一些重要功能,例如高级搜索和频道,不受WeChat自己的隐私政策的约束。相反,它们受微信(Weixin)隐私保护准则的约束。WeChat隐私政策规定,这些“第三方”服务“由微信运营”。通常,《微信隐私保护指南》完全适用于使用中国手机号码注册的用户。因此,用户的数据所受到的保护可能比用户想象的更差。
—— The Citizen Lab
发表回复