信息來源：FreeBuf

美國聯(lián)邦貿(mào)易委員會(huì)（FTC）禁止三個(gè)“跟蹤軟件”銷售，除非開發(fā)人員可以證明其合法使用。該案是FTC首次打擊“跟蹤軟件”的舉措，這類軟件安裝在設(shè)備上可以跟蹤設(shè)備所有者的位置、活動(dòng)等。

這些應(yīng)用程序來自一家名為Retina-X Studios軟件制造商公司，該公司負(fù)責(zé)人是James N. Johns Jr.。該公司業(yè)務(wù)主要是提供監(jiān)視員工和兒童的軟件。

FTC表示，除非開發(fā)人員能夠證明這些應(yīng)用程序用于“合法目的”，否則這三個(gè)應(yīng)用程序均被禁止。此外，鑒于在過去的三年中出現(xiàn)的兩次安全漏洞事件，F(xiàn)TC要求這些應(yīng)用程序的開發(fā)人員加強(qiáng)安全防御措施。

對(duì)于周二的聲明，F(xiàn)TC消費(fèi)者保護(hù)局負(fù)責(zé)人Andrew Smith表示，“對(duì)于所謂的“跟蹤軟件”，這是我們采取的第一個(gè)動(dòng)作。盡管可能有合理的理由跟蹤手機(jī)，但這些應(yīng)用程序在后臺(tái)秘密運(yùn)行，特別容易淪為非法和危險(xiǎn)用途。在這種情況下，我們將讓應(yīng)用開發(fā)人員對(duì)應(yīng)用程序負(fù)責(zé)?！?/span>

其中，三個(gè)Retina-X應(yīng)用程序受到特別審查，即用于監(jiān)視員工和兒童的MobileSpy，以及用于監(jiān)視兒童使用的移動(dòng)設(shè)備的PhoneSheriff和TeenShield。

2018年該公司停售這三個(gè)跟蹤應(yīng)用程序之前，就已經(jīng)售出了超過15000次。一旦安裝后，該軟件將跟蹤設(shè)備用戶的地理位置和在線活動(dòng)。

這些應(yīng)用違反了《兒童在線隱私保護(hù)法》(COPPA)，該法要求運(yùn)營商確保他們從13歲以下兒童那里收集到的信息安全，以及FTC法案禁止不公平和欺騙性的行為。

這些應(yīng)用程序構(gòu)成了重大的隱私風(fēng)險(xiǎn)，且它們不會(huì)通知用戶設(shè)備中已經(jīng)安裝了這些軟件，這具有可怕的安全隱患。如果要安裝這些應(yīng)用程序，則要求購買者繞過移動(dòng)設(shè)備制造商的限制，這會(huì)讓設(shè)備遭受安全漏洞利用的攻擊。

另外，Retina-X不對(duì)從設(shè)備收集的信息本身（GPS位置，短信等）負(fù)責(zé)。該公司將其大部分產(chǎn)品的開發(fā)和維護(hù)工作外包給第三方，并且“未能實(shí)施合理的信息安全政策和程序，對(duì)其移動(dòng)應(yīng)用程序進(jìn)行安全測(cè)試，對(duì)服務(wù)提供商進(jìn)行充分監(jiān)督?！?/span>

正是因?yàn)槿绱?，?017年至2018年之間，出現(xiàn)了兩次安全漏洞事件，使黑客可以訪問Retina-X的云存儲(chǔ)帳戶并刪除某些信息。

黑客訪問了通過PhoneSheriff和TeenShield應(yīng)用收集的數(shù)據(jù)，包括登錄用戶名、加密的登錄密碼、短信、GPS位置、聯(lián)系人和照片。而公司和Johns一直對(duì)此一無所知，直到2017年4月一名新聞?dòng)浾呗?lián)系告知，那時(shí)他們才知道黑客的第一次入侵。

因此，F(xiàn)TC規(guī)定，Retina-X必須要求購買者聲明，他們只將這些應(yīng)用程序用于監(jiān)視孩子或雇員，或提供書面同意的其他成年人。這些應(yīng)用程序還必須在移動(dòng)設(shè)備上包含一個(gè)帶有應(yīng)用程序名稱的圖標(biāo)，該圖標(biāo)只能由安裝在未成年人手機(jī)上的父母或法定監(jiān)護(hù)人移除。最后，公司必須實(shí)施適當(dāng)?shù)陌踩胧?，包括每兩年一次獲取其信息安全計(jì)劃的第三方評(píng)估。