根據華爾街日報的報導,藉由適當的 App 權限開放,Google 允許第三方開發者存取數以百萬計 Gmail 用戶的電子郵件資料,包含收件人地址、時間戳記甚至於整個郵件內容。更可怕的是,批准第三方 App 存取電子郵件的人,其實就是 Gmail 用戶本身。
如果對手機權限有點概念的人,應該都能理解在安裝 App 時,仔細閱讀權限要求是非常重要的一件事。那些會讀取 Gmail 收件匣的 App,也是在安裝時跳出提示,希望使用者給予存取 Gmail 帳戶的權限。
只不過,與一般大眾認知有所差距的關鍵點在於,當使用者給予 App 讀取 Gmail 的權限時,該第三方 App 背後的開發者,也就是人類,其實也能夠閱覽用戶 Gmail 收信匣,並不僅限於機器之間的資訊交換。如此「不明確」的權限提示,就變成了隱私安全的一大漏洞。
面對第三方 App 開發者能夠完整存取用戶的 Gmail 電子郵件內容,Google 表示,他們其實有一套審查機制,不會讓任何開發者都有權力向用戶要求權限。這套審查過程十分嚴謹,包含調查該應用程式開發者的背景,並檢查該 App 是否符合隱私權政策的規定;Google 甚至會更進一步審視開發者會將收集的資料拿來進行何種用途,最後確認該 App 是否有明確表達出「會讀取用戶 Gmail」的提示。
除了第三方開發者之外,Google 告訴華爾街日報,該公司內部員工其實也有權限閱覽用戶的 Gmail 電子郵件內容,但僅限於「非常特定的情況」,例如安全理由、漏洞調查或濫用行為。
然而允許第三方 App 開發者存取電子郵件的問題,也不只發生在 Gmail 身上。從較知名的 Salesforce 、Microsoft Office,到那些鮮為人知電子郵件 App,都有可能向使用者要求讀取 Gmail 收件匣的權限。
華爾街日報採訪了兩間通過 Google 審查,「值得信任」的電子郵件服務公司 Return Path 和 Edison Software。這兩家公司都有權限存取上千個私人的 Gmail 帳戶,並由人類工程師因開發演算法、廣告行銷等機會,去閱覽非常隱密的電子郵件。
儘管如同 Return Path 和 Edison Software 一樣,絕大多數電子郵件服務公司都有嚴密的隱私政策,保障這些電子郵件的內容不會外流,但還是令人有所疑慮。
雖然到目前為止,沒有任何證據表明第三方 App 開發人員利用這些資料進行不正當的行為,但能夠查看和閱讀私人的電子郵件,這樣的行為似乎侵犯了用戶了基本隱私權。
由於我們無法確定 Google 的審查系統夠不夠完整、安全,所以最好的方法還是斷開不信任的第三方 App,避免不肖的開發者存取私人的電子郵件,讀者可以點擊這裡管理自己的 Google 帳戶權限,並在未來安裝新的 App 時,多加注意程式的權限要求,是否有不合理之處。
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!