钉钉打卡遭破解,手机定位系高风险权限易导致隐私泄露
钉钉打卡功能正面临破解难题。5月13日,记者在北京市东城区打开一款破解软件,通过虚拟位置设定,顺利将钉钉打卡的位置设置到1200公里外的上海。远程打卡几秒钟便实现了。
作为当下职场的热门应用,钉钉的用户数已经超过2亿,大量企业使用钉钉记录员工的考勤情况。但新京报记者调查发现,钉钉打卡的破解软件充斥网络,下载破解软件后按照操作教程的指引,即可任意设定位置并成功打卡。
多名商家称,此类软件对用户没有任何风险,但网络安全专家告诉新京报记者商家私自开发的“虚拟定位”软件大多未经专业技术检测,使用者的个人信息处于极大的风险之中。
“手机定位这一权限是高风险权限,对方获取之后,很有可能导致个人隐私的泄露。”专家称。
在QQ搜索“钉钉代打卡”时出现的销售群。网页截图
添加位置即能实现异地打卡
新京报记者在网络输入“钉钉”、“打卡”、“远程”等关键词,可以搜索到多个相关结果。此前,记者在淘宝网上发现,该平台出现多个售卖钉钉破解软件的商家。
新京报记者联系上其中一名商家后,按照正常程序下单,随后便收到客服人员的微信号。记者添加微信后,对方表示可提供远程打卡及代签到服务。
客服人员向记者发送多条信息,包括价目表、操作教程视频、下载链接。价目表显示,“钉钉打卡价格为一个月55元,一年198元”。
记者根据对方发送的链接,下载了一款名为“全球通”的软件。点开软件,首先出现验证码输入页面。客服人员提到,用户可按照自己的意愿,选择软件使用时长,支付费用后才可以获取验证码。
记者按照操作教程获取验证码后进入软件界面。软件下方是一个“添加应用”的按钮,记者将钉钉添加到页面后,再输入需要打卡的位置便操作完毕。
5月13日,记者在北京朝阳区劲松一带时,通过上述软件将打卡位置设定为东城区磁器口,点击打卡后,异地远程打卡轻松实现。
商家承认破解软件系“灰色”产品
“有新加坡的,有马来西亚的。”多位破解软件的售卖者介绍,他们的客户群体分布十分广泛,除了国内市场业务外,还发展海外业务。
一名商家告诉新京报记者,国内客户既有普通企业的职员,也有机关单位工作人员。“机关单位的人十分谨慎,他们对保密性要求很高,所以我们的产品是有保证的。”
该商家介绍称,他售卖的打卡软件分苹果版与安卓版两种,安卓版只需下载软件,苹果版则需购买一款类似U盘插头,使用时需要把插头插入手机充电口。
在软件运行原理方面,这名商家表示,安卓版相当于下载了一个破解版的钉钉,而苹果版则是使用了软件提供的虚拟位置。
一名商家在展示苹果手机专用的破解装置。网页截图
购买软件的方式有买断和租用两种。买断软件可以享受无限次打卡服务,价格是350元;租用软件每个月需要支付120元。如遇软件升级,用户还需另付数十元升级费才可继续使用。
这位商家保证,软件升级后,旧版软件仍能使用,只不过性能不如新版。“所以建议客户还是及时付费升级,我们开发软件的投入也很大”。
另一位商家则介绍,在目前火爆的市场需求下,他们已经实现工厂流水线生产,软件的质量也相对有保证。他进一步推销称,如果一次拿10套以上,每套可优惠150元;一次拿20套以上,每套优惠可达200元。
破解软件是否会导致用户个人信息泄露?对方十分肯定地表示,不会窃取用户个人信息。“做虚拟位置服务是合法的,是正常业务,如要窃取个人信息,团队得增加大量人力物力,而且窃取个人信息是违法犯罪行为,根本没必要去冒险。”
这名商家同时也坦承说,破解软件具有“灰色性质”。“这是上不了台面的东西,因此不能在一些网购平台公开售卖”。对于软件的开发公司、研发时常及工作原理,对方讳莫如深,并未向记者透露。
专家称代打卡软件存安全风险
虽然受访的多位商家坚称打卡软件十分安全,但在专家看来,类似的破解软件存在很大风险。
一位不愿具名的网络安全专家表示,使用此类软件时,个人信息泄露风险极大。手机定位这一权限是高风险权限,对方获取之后,很有可能导致个人隐私的泄露。
一位商家在网上展示苹果手机专用的破解装置。网页截图
专家透露,通过苹果系统下载软件,必须通过官方市场认证。根据商家的描述,破解软件不太可能通过官方市场下载,因此,认证的证书可能是企业级证书。“使用企业级证书导致安全等级降低,如果开发者还使用这个企业证书开发了其他软件,对于手机用户的信息窃取风险便不可避免。”
专家表示,如果此类软件仅仅定位而没有窃取信息,严格来讲并不违法,但却违反了诚信原则。员工使用此破解软件是使用欺骗手段使自己背上道德风险,一旦公司追究此事,一切后果只能由使用者承担。
“如果某些公司有意去查证某个员工的打卡记录,从技术上并不难实现,因此不建议大家使用。”专家称。
今晚,新京报记者通过钉钉客服咨询防止签到作弊的问题。对方回应称,对于使用恶意打卡软件问题,管理员可以在安全设置中开启“禁止恶意软件打卡”功能。这样一来,下载虚拟定位软件之后,这些软件就会对钉钉考勤的定位进行影响,打卡时便需要人脸识别验证或禁止打卡。
另外,客服回应称,钉钉一直在不断优化,防止签到不准和签到作弊。主要方法有:签到设备提示,即系统自动判断当前设备和上一次设备是否一致;后台导出签到报表会记录设备号,若使用不同手机签到则设备号不同。另外,若安卓手机开启地点模拟功能,则不允许签到。
新京报记者 卢通 倪兆中
编辑 赵凯迪
校对 张彦君