小程序怎么定位(实测小程序可绕过用户授权获取位置信息，或涉嫌不法收集个人信息) - 其他

网站首页 >> 其他 >> 正文

简介：很明显，拒绝小程序获取自己的位置信息，后台依然可以准确定位。这到底是怎么回事？这个问题是几年前提出的。近日，隐私卫士自主研发的一款定位小程序成功重现了上述情况，绕过了用户授权，获取并存储了用户所在位置

很明显，拒绝小程序获取自己的位置信息，后台依然可以准确定位。这到底是怎么回事？

这个问题是几年前提出的。近日，隐私卫士自主研发的一款定位小程序成功重现了上述情况，绕过了用户授权，获取并存储了用户所在位置的经纬度信息。

有专家表示，小程序在明确拒绝或未授权访问的情况下获取用户的精确位置，是一个技术“漏洞”。如果平台明知“漏洞”的存在，却不采取相应措施，则难逃纵容小程序获取用户位置信息的嫌疑。

拒绝授权定位，但小程序可以获取位置坐标。

为了使用标记的位置，或者把位置发送给朋友，很多人经常会开启app或者平台的定位功能——这意味着你授权这些app获得准确的位置。

但如果这些平台附带的小程序想要获取位置信息，需要先弹出窗口进行申请:理论上，只有用户点击“同意”，才有获取位置信息的权利。

但根据隐私卫士的实测，在一些平台上，只要开启平台定位，即使用户拒绝从小程序获取位置信息，小程序仍然可以获取坐标信息。

隐私卫士居然发现，如果关闭了平台定位，小程序是无法定位的。但是一旦开启平台定位，一些小程序就可以直接精准定位，不管用户是否授权。

以一个运动地图小程序为例。平台定位关闭时，显示位于非洲。平台定位开启后，即使用户拒绝授权定位小程序，也能即时准确定位隐私卫士的位置。

于是，隐私卫士开发了一个简单的小程序，证明了小程序可以在没有用户授权的情况下获取当前位置的中心点坐标，并成功将坐标值导入到小程序的后台。

测量定位小程序后台存储的用户位置坐标值。

隐私卫士实际测量了几个平台，发现上述情况并非孤例。位置信息一旦与账号关联，用户的个人信息就完全暴露，小程序涉嫌非法获取个人信息。

但隐私卫士梳理发现，这个“漏洞”是完全可以避免的。目前市面上有平台从技术上杜绝了小程序绕过用户授权获取位置信息的可能。

这个“漏洞”已经有好几个开发者提出来了，目前还没有修复。

隐私卫士注意到，在过去几年中，至少有两家开发商报告了这一“漏洞”，他们的查询都指向同一套地图定位功能组件。

2017年，开发者刘伟(化名)在网上发帖称自己做了一个“真机测量”。无论在iOS还是Android上，即使小程序的定位授权被拒绝，他仍然可以定位到用户的位置，并列出详细的方法。

对此，相关技术专员表示“这种情况比较特殊”，并承诺修复授权逻辑。后来在回答类似问题时，另一位技术专家表示，小程序虽然可以显示用户的位置，但是无法获取坐标值，所以不需要授权。

但隐私卫士的实测证实，只要结合一个核心地图组件和一个获取位置信息的专用接口，就可以不经授权获取用户的坐标信息。

“登录的话，用户授权你就可以有登录信息，上传位置坐标就可以带用户信息。”刘伟告诉隐私卫士，小程序可以在后台把坐标信息和账号信息关联起来。这意味着未经授权访问用户的行踪，这是个人敏感信息。

据了解，刘伟开发的小程序的功能是根据用户的位置信息推荐附近的贷款公司。“看来这个bug还没修复。”他解释说，现在在体验了当初开发的小程序后，即使位置信息被拒绝，地图仍然可以显示附近的贷款公司。

有技术专家表示，小程序可以在用户明确拒绝或未授权的情况下，显示用户的位置信息，并将经纬度值导入后台，这是平台的一个“漏洞”。

专家:小程序和平台可能需要分担责任。

隐私卫士团队查看了相关平台的小程序开发文档，发现地图定位功能组件已经不在他们列出的“需要用户授权才能使用的功能”之列。这意味着当小程序调用地图定位功能组件获取位置信息时，很有可能不需要用户授权。

《网络安全法》规定，网络运营者收集、使用个人信息，应当征得被收集人的同意。标准《信息安全技术个人信息安全规范》也要求，个人信息控制者在收集、共享精确定位等个人敏感信息前，应当征得个人信息主体的明确同意。

依托平台，小程序在获取用户信息时受到平台的限制和控制。如果平台存在“漏洞”，小程序可以在未经授权的情况下获取用户位置信息。小程序和平台是否涉嫌违规？

华东政法大学数据法研究中心主任高福平认为，这种行为属于非法获取用户信息，侵犯用户隐私难以认定；但是如果用户的位置信息泄露，平台和小程序都要承担相应的责任。

他还表示，如果平台知道这样的‘漏洞’却不采取相应措施，就涉嫌帮助小程序获取用户位置信息。

南京信息工程大学法政学院教授姜杰表示，用户的地理位置属于个人信息，小程序未经同意收集个人信息，明显侵犯了用户的隐私。如果平台出现漏洞，小程序和平台应该共同承担责任。如果平台能证明自己没有过错，只需要在合理范围内承担及时修复和赔偿的责任。

对于小程序获取用户位置信息的合规做法，有律师建议，小程序应先弹窗申请用户授权；之后，只有在确认用户同意后，平台才能允许小程序调用相关函数获取用户的位置信息。

文/南方个人信息保护研究中心研究员尤应时

本文标签：什么小程序可以定位好友位置

温馨提示：本文是作者郑欣宜发表的文章，不代表本站观点！如有侵权请联系我们删除

上一篇：装修房子提取公积金需要哪些材料（装修房子取住房公积金都需要准备什么材料）

下一篇：交通事故赔偿金配偶和子女怎么分配(对于死亡赔偿金，父母与妻子及子女应如何分配？)

网友点评

人帅鸡巴大

2022-03-11 18:32:50 回复

送给朋友，很多人经常会开启app或者平台的定位功能——这意味着你授权这些app获得准确的位置。但如果这些平台附带的小程序想要获取位置信息，需要先弹出窗口进行申请:理论上，只有用户点击“同意”，才有获取位置信息的权利。但根据隐私卫士

社会你爷爷

2022-03-11 18:25:17 回复

位置信息，并将经纬度值导入后台，这是平台的一个“漏洞”。专家:小程序和平台可能需要分担责任。隐私卫士团队查看了相关平台的小程序开发文档，发现地图定位功能组件已经不在他们列出的“需要用户授权才能使用的功能”之列。这意味着当小程序调用地图定位功能组件获取位置

清凉一夏

2022-03-11 14:54:25 回复

数据法研究中心主任高福平认为，这种行为属于非法获取用户信息，侵犯用户隐私难以认定；但是如果用户的位置信息泄露，平台和小程序都要承担相应的责任。他还表示，如果平台知道这样的‘漏洞’却不采取相应措施，就涉嫌帮助小程序获取用户位置信息。南京信息工程大学法政学院教授姜杰表示

梦中遇鹿

2022-03-11 15:21:58 回复

很明显，拒绝小程序获取自己的位置信息，后台依然可以准确定位。这到底是怎么回事？这个问题是几年前提出的。近日，隐私卫士自主研发的一款定位小程序成功重现了上述情况，绕过了用户授权，获取并存储了用户所在位置的经纬度信息。有专家

我是很花心但我只爱你一人

2022-03-11 14:11:16 回复

化名)在网上发帖称自己做了一个“真机测量”。无论在iOS还是Android上，即使小程序的定位授权被拒绝，他仍然可以定位到用户的位置，并列出详细的方法。对此，相关技术

卞莲学舒

2022-03-11 11:21:39 回复

可不是

本文已有1位网友发表了点评 - 欢迎您取消回复