中國製造的天氣預報 app 秘密收集使用者個資

根據華爾街日報（WSJ）報導，中國 TCL 通訊科技控股公司開發的一款 Android 免費天氣 app，在未經使用者許可的狀況下，自手機中收集資料。這款 app 自 2016 年 12 月發佈以來，已被全球使用者下載超過 1000 萬次。

TCL weather forecast app

這款 Android app 名為 Weather Forecast – World Weather Accurate Radar，由中國 TCL 通訊科技控股公司開發，TCL 旗下還擁有 Alcatel 及 Blackberry 等智慧型手機品牌。 Weather Forecast 這款天氣 app 提供未來 21天 的天氣預報，包括濕度、風速和能見度。根據智慧手機應用分析及行銷資料供應商 App Annie 資料顯示，此天氣預報 app 在英國、加拿大等約 30 個國家地區均為前五大天氣 app 之一，在美國的使用排名在前 20 名之內。

但位於英國倫敦的安全公司 Upstream Systems 卻發現，TCL 利用這款 app 在智慧型手機上搜集使用者的所在位置、電子郵件，及 15 位數的國際行動裝置辨識碼（IMEI），並將這些資料傳回位於中國的 TCL 伺服器上。

Upstream Systems 公司還發現，Weather Forecast app 會試圖替巴西、馬來西亞、奈及利亞等地的 Alcatel 手機使用者自動付費訂閱的虛擬實境（VR）服務。若使用者沒有發現並主動停止訂閱，TCL 便可多賺取超過 150 萬美元以上。經華爾街日報向 TCL 提出詢問後，該公司已於 2018 年 11 月更新此 app，停止自動訂閱功能，但仍持續搜集使用者的資料。

中國製造的 app 不安全

這不是 TCL 產品第一次出現安全風險。2017 年 11 月，Alcatel 更新了一款 Google Play 商店上名為 Gallery 的照片編輯 app（後來命名為“Candy Gallery”）。先前的版本僅要求取用智慧型手機上的檔案，但更新版本後卻要求取用裝置 ID 資訊、SMS 簡訊、Wi-Fi 連線及無關照片編輯的其他資訊。

資訊安全問題亦影響中美投資，如 TCL 向美國公司 Inseego 收購其行動網路公司 Novatel Wireless 的協議，就是因為美國外資投資委員會 (The Committee on Foreign Investment in the United States，CFIUS) 以危害國家安全為由而被迫中止。

2018 年 12 月，由 Cheetah Mobile Inc.開發 CM File Manager 以及 Kika Tech Inc. 所開發的 Keyboard 疑含有廣告欺詐程式碼，而被 Google 自 Google Play 商店下架。

2017 年12月，印度政府宣布，他們委託資訊保安調查小組找出多達 42 個由中國開發商製作的 App 會將使用者資料傳送回中國，且存在對印度網路進行攻擊的潛在風險。印度政府呼籲所有印度軍方人士立即在手機上刪除這些 app，其中不乏由騰訊、百度、新浪、小米科技等軟體開發商製作的 app。安全專家指出，這些軟體如果把使用者的資料傳到設在中國大陸境內的伺服器，很容易遭中國政府指揮的駭客部隊所用。