巴蜀网

 找回密码
 免费注册

QQ登录

只需一步,快速开始

开启左侧
查看: 21|回复: 0
 没熟的冬瓜 发表于: 2020-5-16 00:03:58|显示全部楼层|阅读模式

[2020年] 钉钉打卡遭破解,手机定位系高风险权限易导致隐私泄露

 [复制链接]
源自:新京报网
  钉钉打卡功能正面临破解难题。5月13日,记者在北京市东城区打开一款破解软件,通过虚拟位置设定,顺利将钉钉打卡的位置设置到1200公里外的上海。远程打卡几秒钟便实现了。
  作为当下职场的热门应用,钉钉的用户数已经超过2亿,大量企业使用钉钉记录员工的考勤情况。但新京报记者调查发现,钉钉打卡的破解软件充斥网络,下载破解软件后按照操作教程的指引,即可任意设定位置并成功打卡。
  多名商家称,此类软件对用户没有任何风险,但网络安全专家告诉新京报记者商家私自开发的“虚拟定位”软件大多未经专业技术检测,使用者的个人信息处于极大的风险之中。
  “手机定位这一权限是高风险权限,对方获取之后,很有可能导致个人隐私的泄露。”专家称。
</p>
76d3-itriats4867845.png
在QQ搜索“钉钉代打卡”时出现的销售群。网页截图
  添加位置即能实现异地打卡
  新京报记者在网络输入“钉钉”、“打卡”、“远程”等关键词,可以搜索到多个相关结果。此前,记者在淘宝网上发现,该平台出现多个售卖钉钉破解软件的商家。
  新京报记者联系上其中一名商家后,按照正常程序下单,随后便收到客服人员的微信号。记者添加微信后,对方表示可提供远程打卡及代签到服务。
  客服人员向记者发送多条信息,包括价目表、操作教程视频、下载链接。价目表显示,“钉钉打卡价格为一个月55元,一年198元”。
  记者根据对方发送的链接,下载了一款名为“全球通”的软件。点开软件,首先出现验证码输入页面。客服人员提到,用户可按照自己的意愿,选择软件使用时长,支付费用后才可以获取验证码。
  记者按照操作教程获取验证码后进入软件界面。软件下方是一个“添加应用”的按钮,记者将钉钉添加到页面后,再输入需要打卡的位置便操作完毕。
  5月13日,记者在北京朝阳区劲松一带时,通过上述软件将打卡位置设定为东城区磁器口,点击打卡后,异地远程打卡轻松实现。
  商家承认破解软件系“灰色”产品
  “有新加坡的,有马来西亚的。”多位破解软件的售卖者介绍,他们的客户群体分布十分广泛,除了国内市场业务外,还发展海外业务。
  一名商家告诉新京报记者,国内客户既有普通企业的职员,也有机关单位工作人员。“机关单位的人十分谨慎,他们对保密性要求很高,所以我们的产品是有保证的。”
  该商家介绍称,他售卖的打卡软件分苹果版与安卓版两种,安卓版只需下载软件,苹果版则需购买一款类似U盘插头,使用时需要把插头插入手机充电口。
  在软件运行原理方面,这名商家表示,安卓版相当于下载了一个破解版的钉钉,而苹果版则是使用了软件提供的虚拟位置。
</p>
b504-itriats4867850.jpg
  一名商家在展示苹果手机专用的破解装置。网页截图
  购买软件的方式有买断和租用两种。买断软件可以享受无限次打卡服务,价格是350元;租用软件每个月需要支付120元。如遇软件升级,用户还需另付数十元升级费才可继续使用。
  这位商家保证,软件升级后,旧版软件仍能使用,只不过性能不如新版。“所以建议客户还是及时付费升级,我们开发软件的投入也很大”。
  另一位商家则介绍,在目前火爆的市场需求下,他们已经实现工厂流水线生产,软件的质量也相对有保证。他进一步推销称,如果一次拿10套以上,每套可优惠150元;一次拿20套以上,每套优惠可达200元。
  破解软件是否会导致用户个人信息泄露?对方十分肯定地表示,不会窃取用户个人信息。“做虚拟位置服务是合法的,是正常业务,如要窃取个人信息,团队得增加大量人力物力,而且窃取个人信息是违法犯罪行为,根本没必要去冒险。”
  这名商家同时也坦承说,破解软件具有“灰色性质”。“这是上不了台面的东西,因此不能在一些网购平台公开售卖”。对于软件的开发公司、研发时常及工作原理,对方讳莫如深,并未向记者透露。
  专家称代打卡软件存安全风险
  虽然受访的多位商家坚称打卡软件十分安全,但在专家看来,类似的破解软件存在很大风险。
  一位不愿具名的网络安全专家表示,使用此类软件时,个人信息泄露风险极大。手机定位这一权限是高风险权限,对方获取之后,很有可能导致个人隐私的泄露。


9b6c-itriats4868020.jpg
  一位商家在网上展示苹果手机专用的破解装置。网页截图
  专家透露,通过苹果系统下载软件,必须通过官方市场认证。根据商家的描述,破解软件不太可能通过官方市场下载,因此,认证的证书可能是企业级证书。“使用企业级证书导致安全等级降低,如果开发者还使用这个企业证书开发了其他软件,对于手机用户的信息窃取风险便不可避免。”
  专家表示,如果此类软件仅仅定位而没有窃取信息,严格来讲并不违法,但却违反了诚信原则。员工使用此破解软件是使用欺骗手段使自己背上道德风险,一旦公司追究此事,一切后果只能由使用者承担。
  “如果某些公司有意去查证某个员工的打卡记录,从技术上并不难实现,因此不建议大家使用。”专家称。
  今晚,新京报记者通过钉钉客服咨询防止签到作弊的问题。对方回应称,对于使用恶意打卡软件问题,管理员可以在安全设置中开启“禁止恶意软件打卡”功能。这样一来,下载虚拟定位软件之后,这些软件就会对钉钉考勤的定位进行影响,打卡时便需要人脸识别验证或禁止打卡。
  另外,客服回应称,钉钉一直在不断优化,防止签到不准和签到作弊。主要方法有:签到设备提示,即系统自动判断当前设备和上一次设备是否一致;后台导出签到报表会记录设备号,若使用不同手机签到则设备号不同。另外,若安卓手机开启地点模拟功能,则不允许签到。
⊙记者:卢通 倪兆中

  编辑 赵凯迪
  校对 张彦君
『 巴蜀网 』提醒,在使用本论坛之前您必须仔细阅读并同意下列条款:
  1. 遵守《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法规,并遵守您在会员注册时已同意的《『 巴蜀网 』管理办法》;
  2. 严禁发表危害国家安全、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容;
  3. 本帖子由 没熟的冬瓜 发表,享有版权和著作权(转帖除外),如需转载或引用本帖子中的图片和文字等内容时,必须事前征得 没熟的冬瓜 的书面同意;
  4. 本帖子由 没熟的冬瓜 发表,仅代表用户本人所为和观点,与『 巴蜀网 』的立场无关,没熟的冬瓜 承担一切因您的行为而直接或间接导致的民事或刑事法律责任。
  5. 本帖子由 没熟的冬瓜 发表,帖子内容(可能)转载自其它媒体,但并不代表『 巴蜀网 』赞同其观点和对其真实性负责。
  6. 本帖子由 没熟的冬瓜 发表,如违规、或侵犯到任何版权问题,请立即举报,本论坛将及时删除并致歉。
  7. 『 巴蜀网 』管理员和版主有权不事先通知发帖者而删除其所发的帖子。
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

© 2002-2020, 蜀ICP备12031014号, Powered by 5Panda
GMT+8, 2020-5-28 06:00, Processed in 0.078000 second(s), 11 queries, Gzip On, MemCache On
快速回复 返回顶部 返回列表