Skip to main content
  • 2024.05
  • 571期

实试垃圾电话拦截程式 若要使用要当心!

实试垃圾电话拦截程式 若要使用要当心!

本港的垃圾电话问题猖獗,在面对促销与诈骗电话的双重滋扰下,不少市民感到非常烦厌。为了换取片刻安宁,市民纷纷于智能电话安装拦截程式。本会检视了市面上5款较受欢迎的垃圾电话拦截程式,发现部分程式会把用户的通讯录上载到伺服器供其他用户搜索,有关人士即使从未同意相关做法,其姓名、电邮地址,甚或地址等重要个人资料,仍可被他人一览无遗,消费者要留神!

注册帐户与个人资料

个别程式存取多达8项个人资料
部分须验证电话号码 

调查的5个程式中,「CallApp」(#1)和「Truecaller」(#4)规定用户必须注册帐户方可使用有关服务;「小熊来电Call Defender」(#2)的Android版本亦有相关要求,其iOS版本则未有此限制。注册帐户时,用户一般可选择以电邮地址、电话号码,或登入Facebook、Google等第三方帐户方式进行。

 

大部分程式于注册时只会向用户索取姓名、电邮地址、个人头像等资料,其中个人头像一般可略过。倘若消费者以登入Facebook帐户的方法注册,#1将要求存取多达8项个人资料,包括姓名、个人头像、电邮地址、出生日期、相片、影片、朋友名单,以及生活时报连结。假如消费者不欲提供,应考虑以其他方式注册帐户或选用其他拦截程式。

 

「CallApp」(#1)要求存取用户的Facebook帐户资料多达8项。 

「CallApp」(#1)要求存取用户的Facebook帐户资料多达8项。

 

此外,#2和#4亦要求用户通过电话号码验证程序。#2的开发商表示,有关措施仅为确保回报资料的可靠性和打击恶意举报等滥用行为,而用户提供的电话号码会被程式自动转换成杂凑值(hash value)且无法被还原,因此不能被用于识别用户身分或其他目的;#4则未有回复本会相关查询。

个别程式会储存并分享用户通讯录

联络人资料会被程式上载和整合

许多垃圾电话拦截程式需要存取通讯录方能识别联络人的来电。撇除「芝麻来电Jima Caller ID」(#3)不会读取用户的通讯录外,其他程式的Android版本一般均要求索取有关权限;「小熊来电Call Defender」(#2)的Android版本则预设了毋须存取通讯录,除非用户手动开启「忽略联络人」功能,以防通讯录内人士的来电被程式拦截。

 

然而,调查显示当「CallApp」(#1)取得用户通讯录的权限后,通讯录中的所有联络人资料同时会被自动上载和整合到商户的电话资料库中,并可供其他用户搜索。换言之,若有用户在通讯录中储存了亲友的电话号码,而在使用该程式时同意被读取通讯录,即使该些亲友本身从未下载或批准该程式使用其个人资料,其资料也会被取用和上载,做法有欠公允之余亦令人防不胜防。通讯录资料一旦被录入到#1的资料库中,其他用户便可透过程式内的「反向搜索」(reverse lookup)功能,输入他人的电话号码以追溯该号码持有者身分,以及查阅其英文和中文姓名、电邮地址,甚至社交媒体连结等个人资料。至于「Truecaller」(#4),若用户经App Store或Google Play下载和安装程式,#4的私隐政策表明不会将用户的通讯录作分享用途;相反,若果用户以其他途径,例如是在#4的官方网站下载程式档案(例如APK档)进行安装,程式则会额外提供一个名为「强化搜寻」(Enhanced Search Functionality)的功能,用户启用后同样会把通讯录资料分享予#4,并将联络人姓名等个人资料加入到商户的电话资料库中,供其他用户搜索,情况与#1相似。

 

若以APK档案的方式安装「Truecaller」(#4),用户或因程式声称能提高来电身分识别的准确性为由,开启「强化搜寻」功能并可导致联络人资料被分享。

若以APK档案的方式安装「Truecaller」(#4),用户或因程式声称能提高来电身分识别的准确性为由,开启「强化搜寻」功能并可导致联络人资料被分享。

安装APK程式档案须留意保安风险

消费者在使用智能电话时,大多都会经过App Store和Google Play等官方应用程式商店安装不同的程式。然而,以Android装置为例,部分用户或因各种原因,选择于第三方网站下载和安装APK程式档案。不过,消费者必须留意若程式档案未经官方认证,有可能藏有恶意程式并对用户的装置构成潜在保安问题,相关风险不容忽视。事实上,现时本港部分银行的应用程式会侦测用户的Android装置是否载有来自非官方应用商店的程式,假如该等程式同时拥有过多装置权限,该银行的应用程式便无法于有关装置上运作,以防客户资料被盗。

反向搜索结果披露多项个人资料

实试发现,不少本会职员及其亲友的私人电话号码和个人资料已被「CallApp」(#1)和「Truecaller」(#4)取用。 本会预备了一部插有一张全新电话卡的手机,实试5款拦截程式的反向搜索功能会否披露他人的个人资料,而该手机的通讯录内只载有本会新登记电话号码的模拟联络人。结果发现,不少参与实试的职员及其亲友的私人电话号码皆可在#1和#4的资料库中搜索得到,号码持有人的姓名等资料毋须经相关人士批准便可在相关程式中任意查看。当中,有个别人士的旧有住址(包括楼层和单位)甚至是每月租金等敏感资料也被显示于其姓名一栏中,相信有关资讯可能是源自当时人的业主或地产经纪的通讯录。其余程式(#2、#3和#5)则未发现以上情况。

实试发现,不少本会职员及其亲友的私人电话号码和个人资料已被「CallApp」(#1)和「Truecaller」(#4)取用。

本会预备了一部插有一张全新电话卡的手机,实试5款拦截程式的反向搜索功能会否披露他人的个人资料,而该手机的通讯录内只载有本会新登记电话号码的模拟联络人。结果发现,不少参与实试的职员及其亲友的私人电话号码皆可在#1和#4的资料库中搜索得到,号码持有人的姓名等资料毋须经相关人士批准便可在相关程式中任意查看。当中,有个别人士的旧有住址(包括楼层和单位)甚至是每月租金等敏感资料也被显示于其姓名一栏中,相信有关资讯可能是源自当时人的业主或地产经纪的通讯录。其余程式(#2、#3和#5)则未发现以上情况。

 

测试另显示,实试手机内的通讯录资料随后亦被上载和整合到#1的资料库。本会职员以另一部手机,同样可于#1寻得模拟联络人的新登记号码,而号码持有人的姓名正是原先实试手机中储存的资讯,再次反映程式有取用和分享联络人资料。

有关商户向用户索取其通讯录资料的条款不合理且不可行  

#1于其私隐政策表示,假如用户容许商户收集属于他人的资料,用户须谨慎行事并遵循常理,应当告知联络人和其他人士有关#1会收集和分享其资料的做法,以及引导他们参阅其私隐政策和服务条款以获取更多资讯。惟本会认为,消费者的个人资料使用方式应交由消费者自行决定;程式向用户索取通讯录资料上载和整合时,反而要用户负责向所有联络人告知有关做法,要求并不合理且不可行。上述行径亦印证了消费者在下载和使用程式时,需要细阅其服务条款和私隐政策,以清楚了解商户对于个人资料的保障方式。

 

「CallApp」(#1)的私隐政策要求用户将程式撷取通讯录的做法告知联络人和其他人士,要求不合理且不可行。

「CallApp」(#1)的私隐政策要求用户将程式撷取通讯录的做法告知联络人和其他人士,要求不合理且不可行。