祈禱時間的法國穆斯林。(湯森路透)
穆斯林熱門APP《穆斯林專業版》(Muslim Pro)2020年11月遭控出售個人用戶給美國軍方,另一款APP《祈禱時間》(Salaat First)11日又爆出將用戶資料出售給和美國政府部門有合作關係的網路數據公司。
《祈禱時間》(Salaat First)是一款宗教APP,能夠提醒穆斯林用戶何時該做禮拜、透過GPS引導穆斯林向麥加方向朝拜、尋找離用戶最近的清真寺以及計算禮拜時間。該應用程式在安卓上的下載量超過1000萬。
.@NihadAwad, @CAIRNational, told @motherboard, "In light of these latest revelations, the owners of all major Muslim applications should thoroughly investigate how their companies handle user data."https://t.co/DxqV5C20pQ
— CAIR National (@CAIRNational) January 11, 2021
@josephfcox @VICE
《Vice新聞》11日報導,《祈禱時間》曾記錄用戶的地點資訊並將資訊出售給資訊仲介,資訊仲介再將地點資訊出售給其他用戶。資訊網站《主板》(Motherboard)取得APP上的資料庫並觀察用戶資料的流動,發現用戶的移動記錄被出售,這導致穆斯林用戶的行動被追蹤,可能會被有心人士加以利用。
《主板》也發現,負責收及用戶資料的網路數據公司為總部位於法國的Predicio,該公司曾將資料出售給和美國海關、FBI有合作關係的承包商。由於個人資料的出售牽涉個人隱私,《主板》並不透露有多少資料被出售等細節,但強調APP在未經用戶同意的情況下洩漏個人資料。
除了安卓,《祈禱時間》也在ios上架,但ios版本的APP並未將資料傳送給Predicio。
據悉,被出售的個人資料包含用戶所在地的經緯度、手機型號、IP位置以及時區,《主板》也在資料庫中發現個人的廣告ID,廣告ID能夠將用戶資訊發送給廣告商以及第三方,因此能夠透過廣告ID追蹤個人資料的流動。除《祈禱時間》,《主板》也發現來自其他APP的資訊。
《祈禱時間》開發者希沙姆(Hicham Boushaba)坦承有將用戶資料傳送給Predicio,他表示,Predicio在2020年3月的時候有和他連繫,他也採用Predicio的軟體開發套件,但補充用戶只有在英國、法國、德國、義大利等地下載的時候才會蒐集個人資料。
希沙姆提及,他在2020年10月的時候已經停止將資訊傳送給Predicio,原因是該公司的軟體開發套件造成手機電量負荷過大,加上X-Mode以及Venntel'使用個人資料的先例,他在12月6日決定暫停和Predicio的協議。
《主板》實際測試APP,發現《祈禱時間》在網站上的隱私政策有提及Predicio,但是在用戶下載時,要求用戶分享個人資訊的時候卻沒有提醒,也沒有提供隱私政策的連結,這違反Google商店的規定。Google發言人表示,該商店嚴禁透過APP出售個人或敏感資料,將會調查所有指控,如果屬實將會採取行動,但Predicio已在安卓各APP上蒐集用戶地點資訊,並付錢給開發者,讓人對Google的政策執行效率感到懷疑。
New: we've obtained a large dataset of the precise movements of people using a Muslim prayer app. People near mosques. Source was concerned this data could be abused. Company selling this data linked to supply chain to U.S. contractor which works with ICE https://t.co/y9iJHoDuQe
— Joseph Cox (@josephfcox) January 11, 2021
《主板》2020年12月曾和挪威廣播公司(NRK)合作,揭露Predicio和美國政府的承包商Venntel存在數據供應鏈的關係,它們將地點資訊傳送給執法部門,包含美國移民及海關執法局(ICE)、美國海關及邊境保衛局(CBP),調查發現Venntel的母公司Gravy Analytics也從Predicio取得數據資料,然後再將地點資訊提供給Venntel。
數據供應鏈的關係被揭露後,Predicio一度將網站下架,之後又重新上架,增加新的訊息以表明自身未追蹤族群及宗教團體。公司網站公告:「Predicio並不支持基於政府、商業及私人目的使用商業情報來辨別族群、宗教、政治團體已達到追蹤的目的」但公告並未提及該公司曾使用《祈禱時間》收集地點資訊。
曾揚言對《穆斯林專業版》提起法律訴訟的英國行動倡議者克里德(Cori Crider)表示,這些公司可能會讓用戶避而遠之,最後還要面對法律官司,蘋果和Google在這方面就做得很好,將不受信任的APP從商店下架。
The Android and Apple app stores are an under-regulated mess. People ought able to trust the apps they download not to shop them to the feds. More solid reporting from @josephfcox. Do better, Gapple. https://t.co/Q05dlJDMqj
— Cori Crider (@cori_crider) January 11, 2021
美國伊斯蘭關係委員會(the Council on American-Islamic Relations)執行董事尼哈德(Nihad Awad)表示,基於這些揭露,所有穆斯林APP的用戶應該檢視公司是如何使用他們的資料,公司也應該公開承認有出售可能會被政府部門取得的用戶資料,並且採取公開透明的方式確保未來不會發生類似的事情。