消委会评测2款垃圾电话拦截app疑外泄用户资料！推荐1网站更安全

消委会评测2款垃圾电话拦截app疑外泄用户资料！推荐1网站更安全｜香港的垃圾电话日渐猖狂，不少人都会下载垃圾电话拦截程式，阻止垃圾电话来电骚扰。不过近日消委会检视了市面上5款垃圾电话拦截app，发现当中涉嫌披露用户的个人及联络人资料，私隐安全成疑，即睇详情啦。

电话卡实名制难阻垃圾电话滋扰

即使香港实施了电话卡实名制，各种垃圾来电仍然猖狂，所以很多人都僧下载垃圾电话拦截程式，阻止垃圾电话来电骚扰。但你又怎会想到，用来阻截垃圾电话、减少私隐外泄机会的垃圾电话拦截app，原来都暗藏私隐危机？消委会公布了市面上5款垃圾电话拦截app的评测报告，发现当中2款涉嫌披露用户的个人及联络人资料。

消委会评测方法

消委会于2月测试了5款较多香港人使用的app，分别为1.CallApp 2.小熊来电3.芝麻来电Jima Caller ID 4.Truecaller 及5.Whoscall。然后于2月至4月调查其服务条款、私隐政策、网站、网上客服等渠道取得上述程式的服务资料。其中2.、3.及5的调查所得的资料已获有关公司确认和核实。

5款垃圾电话拦截App资料

存取资料数量｜Facebook登入存取多达8项资料

在5个app中，Truecaller及小熊来电Android版规定了用户必须注册来使用。而如果在Call App登入时使用Facebook，亦会要求存取姓名、电邮地址、个人头像等资料，其中个人头像一般可略过。倘若用户以登入Facebook帐户的方法注册，Call App将要求存取多达8项个人资料，包括姓名、个人头像、电邮地址、出生日期、相片、影、朋友名单，以及生活时报连结。假如消费者不欲提供，应考虑以其他方式注册帐户或选用其他拦截程式。此外，另外小熊来电和Truecaller亦要求用户通过电话号码验证程序。

私隐外流｜通讯录资料遭上载

除了个人资料之外，联络人的资料亦有外流的风险。许多App都要存取联络人来识别来电。调查后发现除了“芝麻来电”之外，其他App的Android版本都会要求相关权限。而“小熊来电”的Android版本则预设了无须存取通讯录。除非用户手动开启“忽略联络人”功能防止通讯录的联络人遭拦截。

然而，调查显示当“CallApp”取得用户通讯录的权限后，通讯录中的所有联络人资料同时会被自动上载和整合到商户的电话资料库中，可以供其他用户搜索。即是说，若有用户在通讯录中储存了亲友的电话号码，再选择同意被读取通讯录，即使该些亲友本人从未下载或批准，他的资料也会被取用和上载，做法有欠公允之余亦令人防不胜防。通讯录资料一旦被录入到Call App的资料库中，其他用户便可透过程式内的“反向搜索”（reverse lookup)，输入功能，输入他人电话号码去追查该号码持有者身分、姓名、电邮地址，甚至是社交媒体连结等个人资料。若用户经App Store或Google Play下载“Truecaller”，其私隐政策表明不会分享用户的通讯录；不过，若然用户以其他途径下载，例如其官方网站的APK档，就会额外提供一个名为“强化搜寻”（Enhanced Search Functionality）的功能，用户启用后同样会把通讯录资料分享，并将联络人姓名等个人资料加入到商户的电话资料库中，供其他用户搜索，情况与CallApp相似。

个人资料遭披露

消委会准备了一部插有一张全新电话卡的手机，实试5款拦截app的反向搜索功能会否披露他人资料，消委会在手机的通讯录内输入新登记电话号码的模拟联络人。结果发现，不少参与实试的职员及其亲友的私人电话号码皆可在CallApp和Truecaller的资料库中搜索得到，包括姓名等资料，更有部份机主的旧有住址（包括楼层和单位）甚至是每月租金等敏感资料也在其中，推测源自当事人的业主或地产经纪的通讯录。

另外，实测中手机内的通讯录资料随后亦被上载到CallApp的资料库中。以另一部手机同样可以搜寻得到模拟联络人新登记的号码，而号码持有人的姓名正是原先实试手机中储存的资讯，再次反映程式有取用和分享联络人资料。

使用HKJunkCall网站更安全

HKJunkCall为本地非应邀来电回报网站，收集网民提交疑似促销和诈骗电话举报，并分析资料，整理成垃圾电话清单供拦截程式使用。调查中的“小熊来电Call Defender”、“芝麻来电Jima Caller lD”和“Whoscall”以及香港警方的“防骗视伏器”均有参考HKJunkCal的相关数据。HKJunkCall另设白名单，以助市民判别公营机构的来电，免于钻失重要资讯。HKJunkCall亦强调回报讯息不容许包括号码持有人的个人资料，网站也有机制防止起底等行径，让市民在使用时更安心。

消息来源：消委会