微信淘宝等5款内地App　可取用户敏感资料传外地伺服器

传真社今日（10日）揭发内地5款热门付费App－WeChat、淘宝、淘宝全球、支付宝钱包及天猫存取用户资料传送到内地伺服器，并可能追踪、监视手机的一举一动。

传真社上月针对Android系统程式分析，调查5款由内地研发的热门支付或网购App，包括由腾讯开发的Wechat和阿里巴巴集团开发的淘宝App。调查由网络安全专家和电脑保安及黑客技术专家确认研究方法的可行性。根据港区Google Play资料，5款App共有逾亿次下载量。

传真社以静态形式测试，发现五款App会在安装时，取得“读取手机状态及识别码”权限，应用程式可随时存取用户国际移动设备识别码(IMEI)、国际移动用户识别码(IMSI)、SIM卡编码(ICCID)、电话号码、通话状态、通话对方电话号码等敏感资料。但用户安装程式时，程式仅称只会“读取手机状态及识别码”，用户难以察觉其他敏感资料已被取用。

淘宝App启动即发资料予阿里巴巴

在五款程式当中，“淘宝全球”会在首次启动时，即时将IMEI和IMSI传送至杭州阿里巴巴广告有限公司，同时将电话号码、IMEI、IMSI以及ICCID共4项敏感资料，记录在其档案内；亦包括一个后门恶意软件backdoor.androidos.ginmaster，可在用户不知情下盗取手机任何资讯。

WeChat可存用家资料至香港以外伺服器

至于香港有不少人使用的WeChat，政策订明会“收集、储存和使用”用户的个人资料、位置数据及日志资料，亦会与第三方“使用、分享及转移”用户的个人资料至用户所在地或以外地区，故用户电话的IP位址、元数据、网络搜寻词语及所造访的社交媒体页面，均有机会储存到香港以外地区伺服器。另外，支付宝的钱包安装档，则包含一款木马程式Android Trojan SMS Spy，会拦截并盗取用户SMS短讯。