騰訊科技 宗秀倩 3月16日報(bào)道

“兩年前我們在和微博對接時(shí)使用了當(dāng)時(shí)的Xauth明文傳輸協(xié)議，這是當(dāng)時(shí)行業(yè)的通用做法。隨著微博開始采用更具保密性的SSO協(xié)議，我們也在去年下半年轉(zhuǎn)用此協(xié)議與微博對接，現(xiàn)在的版本已沒有信息泄露的問題。”高德地圖副總裁郄建軍這樣澄清。

昨日晚間，央視315晚會(huì)上曝光安卓系統(tǒng)通過手機(jī)軟件收集并泄露用戶信息。

在央視的調(diào)查中，央視稱，高德地圖的位置共享服務(wù)會(huì)收集的用戶賬號(hào)和密碼被以明文的方式傳給高德的服務(wù)器。

央視的調(diào)查稱，“用戶可以通過它直接將自己當(dāng)前的位置信息鏈接到新浪微博、搜狐微博、網(wǎng)易微博、人人網(wǎng)等第三方網(wǎng)站。然而監(jiān)測人員發(fā)現(xiàn)，當(dāng)用戶通過高德導(dǎo)航軟件輸入這些微博的賬號(hào)和密碼時(shí)，這些賬號(hào)和密碼竟然被以明文的方式，傳給了高德的服務(wù)器。”

復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心常務(wù)副主任楊珉在節(jié)目中說，這些賬戶信息應(yīng)該是直接交由第三方網(wǎng)站去驗(yàn)證，但這些賬戶信息是發(fā)給高德的服務(wù)器地址，他認(rèn)為，這是一種比較明顯的用戶賬號(hào)泄露的行為。

央視的節(jié)目播出后，高德對此事調(diào)查后做出回應(yīng)稱，央視曝光的是兩年前的舊版本，當(dāng)時(shí)受制于分享到微博的技術(shù)方式，采取模擬用戶登錄。自去5月，微博改變登錄方式，高德地圖隨后也更換了第三方登錄和驗(yàn)證的方法，現(xiàn)高德地圖安卓版已全部解決這個(gè)問題。

郄建軍接受騰訊科技專訪時(shí)強(qiáng)調(diào)，現(xiàn)在的高德地圖版本沒有問題，用戶可以放心下載。

至于舊版本和新版本之間的信息保護(hù)差異，郄建軍解釋說，2年前，高德地圖與微博等應(yīng)用對接時(shí)，行業(yè)當(dāng)時(shí)都采用的Xauth傳輸協(xié)議，要求是以明文的方式傳輸，這是當(dāng)時(shí)行業(yè)企業(yè)的一種通行做法。去年，微博開始采用更具保密性的SSO協(xié)議，從去年下半年開始，高德地圖已經(jīng)開始采用SSO協(xié)議與微博進(jìn)行合作。

郄建軍坦言，在明文傳輸?shù)那闆r下，由于信息沒有加密，的確會(huì)有泄露用戶隱私的潛在風(fēng)險(xiǎn)，

不過在這期間，高德并沒有信息泄露的情形發(fā)生。

“用戶要通過位置分享信息轉(zhuǎn)發(fā)到微博，需要我們向微博要一個(gè)權(quán)限，這就產(chǎn)生了明文傳輸?shù)椒��?wù)器的環(huán)節(jié)。”郄建軍說，“在與微博的對接中，高德地圖起了一個(gè)中轉(zhuǎn)站作用。我們本身沒有存儲(chǔ)用戶的信息，而是直接轉(zhuǎn)發(fā)。我們也沒有做其他的事情，所以不存在信息泄露的問題。”

央視的調(diào)查依據(jù)來自于復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心。該中心對當(dāng)前比較熱門的330多款安卓系統(tǒng)下的手機(jī)軟件進(jìn)行了為期半年的監(jiān)測。王曉陽表示，58%以上的軟件都存在隱私信息泄密的問題。

高德今日晚間回應(yīng)稱，“關(guān)于央視315曝光的高德地圖問題，經(jīng)調(diào)查，曝光的是兩年前的舊版本，當(dāng)時(shí)受制于分享到微博的技術(shù)方式，采取模擬用戶登錄。自去年5月，微博改變登錄方式，高德地圖隨后也更換了第三方登錄和驗(yàn)證的方法，現(xiàn)高德地圖安卓版已全部解決這個(gè)問題。”

這是一款預(yù)裝在摩托羅拉XT685手機(jī)內(nèi)，名為高德地圖的安卓版軟件。高德地圖有一個(gè)位置共享服務(wù)，用戶可以通過它直接將自己當(dāng)前的位置信息鏈接到新浪微博、搜狐微博、網(wǎng)易微博、人人網(wǎng)等第三方網(wǎng)站。然而監(jiān)測人員發(fā)現(xiàn)，當(dāng)用戶通過高德導(dǎo)航軟件輸入這些微博的賬號(hào)和密碼時(shí)，這些賬號(hào)和密碼，竟然被以明文的方式，傳給了高德的服務(wù)器。

復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心楊珉常務(wù)副主任：“這些賬戶信心，應(yīng)該是直接交由第三方網(wǎng)站去驗(yàn)證的 但是我們在檢測中卻發(fā)現(xiàn) 這些賬戶信息是發(fā)給高德的服務(wù)器地址，我們認(rèn)為，這是一種比較明顯的，用戶賬號(hào)泄露的行為。”