有没有不用对方同意就可以定位的软件|不被对方察觉手机定位

有没有不用对方同意就可以定位的百思特网软件(不被对方察觉手机定位)明明拒绝了小程序获取自己的位置信息,后台还是能精准定位 。这究竟是怎么做到的?
早在几年前,就有人提出了这个问题 。近日,隐私护卫队自主开发的一款定位小程序成功复现了上述情况,绕过用户授权,获取并存储了用户所在地点的经纬度信息 。
有专家表示,在明确拒绝或未授权的情况下,小程序能获取用户的精确位置属于技术“漏洞” 。如果平台明知“漏洞”的存在,却不采取相应措施,则难逃纵容小程序获取用户位置信息的嫌疑 。
拒绝授权定位,小程序却能获取位置坐标
为了使用标记所在位置,或者向朋友发送定位等功能,很多人往往会开启App或平台的定位功能——这代表你授权这些App获取精准位置 。
不过,假如是依附于这些平台的小程序想获取位置信息,则需先弹窗申请:理论上只有用户点击“同意”,它们才有权获取位置信息 。

【有没有不用对方同意就可以定位的软件|不被对方察觉手机定位】

然而,根据隐私护卫队实测,在部分平台上,只要开启平台定位,即使用户拒绝小程序获取位置信息,小程序依然可以获取坐标信息 。
隐私护卫队实测发现,如果关闭平台定位,小程序也无法定位;但一旦开启平台定位,无论用户是否授权,有些小程序就能够直接精准定位 。
以某运动地图类小程序为例,关闭平台定位时,它显示定位在非洲;开启平台定位后,即使用户拒绝授权小程序定位,它也能立即准确定位到隐私护卫队所在位置 。
为此,隐私护卫队开发了一个简易小程序,证实了在未经用户授权的情况下,该小程序能够获取当前位置中心点的坐标,并成功将坐标值导到小程序后台 。有没有不用对方同意就可以定位的软件(不被对方察觉手机定位)
有没有不用对方同意就可以定位的软件|不被对方察觉手机定位

实测“定位小程序”后台存储的用户位置的坐标值 。
隐私护卫队实测了多个平台发现,上述情况并非孤例 。一旦将位置信息与账号相关联,用户的个人信息就完全暴露,小程序则有百思特网违规获取个人信息的嫌疑 。
不过,隐私护卫队梳理发现,这一“漏洞”是完全可以避免的 。目前市场上就有平台从技术层面杜绝了小程序绕过用户授权获取位置信息的可能性 。
该“漏洞”曾被数名开发者提出,至今未修复
隐私护卫队注意到,过去几年,有至少两名开发者曾反馈过这个“漏洞”,他们的质疑都指向同一套地图定位功能组件 。
2017年,开发者刘伟(化名)在网上发帖称,自己做了“真机实测”,无论在iOS还是安卓系统上,即使小程序的定位授权被拒绝,仍然可以定位用户位置,并列出了详细方法 。
对此,相关技术专员回应称“这种情况比较特殊”,并承诺会对该授权逻辑进行修复包加 。之后另一名技术专员回应类似问题时说,尽管小程序可以显示用户位置,但不能获取坐标值,所以不需要授权 。
但隐私护卫队实测证实,只要结合某核心地图组件和专门获取定位信息的接口,就能在未获授权的情形下获取用户的坐标信息 。
“你做登录了,那用户授权你就能有登录信息,你上传位置坐标的时候就可以带上用户信息 。”刘伟告诉隐私护卫队,小程序可以在后台把坐标信息和账号信息关联起来 。这就等于未经授权获取了用户的行踪轨迹,属于个人敏感信息 。
据了解,刘伟开发的小程序的功能是根据用户的位置信息,推荐附近的贷款公司 。“貌似这个bug还没有修复 。”他解释说,现在体验当初开发的小程序,在拒绝授权位置信息的情况下,地图上还是能显示附近贷款公司 。
有技术专家表示,在用户明确拒绝或未授权的情况下,小程序能展示用户的位置信息并将经纬度值导入到后台,这属于平台的“漏洞” 。
专家:小程序和平台或需共同担责
隐私护卫队查阅相关平台的小程序开发文档发现,地图定位功能组件不再其列举的“需要用户授权才能使用的功能”之中 。这意味着,小程序调用该地图定位功能组件获取位置信息时,很有可能无需经过用户授权 。
《网络安全法》规定,网络运营者收集、使用个人信息时,应经被收集者同意 。国家标准《信息安全技术 个人信息安全规范》也要求,个人信息控制者收集、分享精准定位等个人敏感信息前,应征得个人信息主体的明示同意 。
由于依托于平台,小程序获取用户信息时,受到平台的限制和管控 。如果因平台存在“漏洞”,导致小程序可在未获授权的情况下,获取用户位置信息,小程序和平台是否涉嫌违规?