釘釘打卡功能正面臨破解難題。5月13日,記者在北京市東城區開啟一款破解軟體,透過虛擬位置設定,順利將釘釘打卡的位置設定到1200公里外的上海。遠端打卡幾秒鐘便實現了。
作為當下職場的熱門應用,釘釘的使用者數已經超過2億,大量企業使用釘釘記錄員工的考勤情況。但新京報記者調查發現,釘釘打卡的破解軟體充斥網路,下載破解軟體後按照操作教程的指引,即可任意設定位置併成功打卡。
多名商家稱,此類軟體對使用者沒有任何風險,但網路安全專家告訴新京報記者商傢俬自開發的“虛擬定位”軟體大多未經專業技術檢測,使用者的個人資訊處於極大的風險之中。
“手機定位這一許可權是高風險許可權,對方獲取之後,很有可能導致個人隱私的洩露。”專家稱。
在QQ搜尋“釘釘代打卡”時出現的銷售群。網頁截圖
新增位置即能實現異地打卡
新京報記者在網路輸入“釘釘”、“打卡”、“遠端”等關鍵詞,可以搜尋到多個相關結果。此前,記者在淘寶網上發現,該平臺出現多個售賣釘釘破解軟體的商家。
新京報記者聯絡上其中一名商家後,按照正常程式下單,隨後便收到客服人員的微訊號。記者新增微信後,對方表示可提供遠端打卡及代簽到服務。
客服人員向記者傳送多條資訊,包括價目表、操作教程影片、下載連結。價目表顯示,“釘釘打卡價格為一個月55元,一年198元”。
記者根據對方傳送的連結,下載了一款名為“全球通”的軟體。點開軟體,首先出現驗證碼輸入頁面。客服人員提到,使用者可按照自己的意願,選擇軟體使用時長,支付費用後才可以獲取驗證碼。
記者按照操作教程獲取驗證碼後進入軟體介面。軟體下方是一個“新增應用”的按鈕,記者將釘釘新增到頁面後,再輸入需要打卡的位置便操作完畢。
5月13日,記者在北京朝陽區勁松一帶時,透過上述軟體將打卡位置設定為東城區磁器口,點選打卡後,異地遠端打卡輕鬆實現。
商家承認破解軟體系“灰色”產品
“有新加坡的,有馬來西亞的。”多位破解軟體的售賣者介紹,他們的客戶群體分佈十分廣泛,除了國內市場業務外,還發展海外業務。
一名商家告訴新京報記者,國內客戶既有普通企業的職員,也有機關單位工作人員。“機關單位的人十分謹慎,他們對保密性要求很高,所以我們的產品是有保證的。”
該商家介紹稱,他售賣的打卡軟體分蘋果版與安卓版兩種,安卓版只需下載軟體,蘋果版則需購買一款類似隨身碟插頭,使用時需要把插頭插入手機充電口。
在軟體執行原理方面,這名商家表示,安卓版相當於下載了一個破解版的釘釘,而蘋果版則是使用了軟體提供的虛擬位置。
一名商家在展示蘋果手機專用的破解裝置。網頁截圖
購買軟體的方式有買斷和租用兩種。買斷軟體可以享受無限次打卡服務,價格是350元;租用軟體每個月需要支付120元。如遇軟體升級,使用者還需另付數十元升級費才可繼續使用。
這位商家保證,軟體升級後,舊版軟體仍能使用,只不過效能不如新版。“所以建議客戶還是及時付費升級,我們開發軟體的投入也很大”。
另一位商家則介紹,在目前火爆的市場需求下,他們已經實現工廠流水線生產,軟體的質量也相對有保證。他進一步推銷稱,如果一次拿10套以上,每套可優惠150元;一次拿20套以上,每套優惠可達200元。
破解軟體是否會導致使用者個人資訊洩露?對方十分肯定地表示,不會竊取使用者個人資訊。“做虛擬位置服務是合法的,是正常業務,如要竊取個人資訊,團隊得增加大量人力物力,而且竊取個人資訊是違法犯罪行為,根本沒必要去冒險。”
這名商家同時也坦承說,破解軟體具有“灰色性質”。“這是上不了檯面的東西,因此不能在一些網購平臺公開售賣”。對於軟體的開發公司、研發時常及工作原理,對方諱莫如深,並未向記者透露。
專家稱代打卡軟體存安全風險
雖然受訪的多位商家堅稱打卡軟體十分安全,但在專家看來,類似的破解軟體存在很大風險。
一位不願具名的網路安全專家表示,使用此類軟體時,個人資訊洩露風險極大。手機定位這一許可權是高風險許可權,對方獲取之後,很有可能導致個人隱私的洩露。
一位商家在網上展示蘋果手機專用的破解裝置。網頁截圖
專家透露,透過蘋果系統下載軟體,必須透過官方市場認證。根據商家的描述,破解軟體不太可能透過官方市場下載,因此,認證的證書可能是企業級證書。“使用企業級證書導致安全等級降低,如果開發者還使用這個企業證書開發了其他軟體,對於手機使用者的資訊竊取風險便不可避免。”
專家表示,如果此類軟體僅僅定位而沒有竊取資訊,嚴格來講並不違法,但卻違反了誠信原則。員工使用此破解軟體是使用欺騙手段使自己背上道德風險,一旦公司追究此事,一切後果只能由使用者承擔。
“如果某些公司有意去查證某個員工的打卡記錄,從技術上並不難實現,因此不建議大家使用。”專家稱。
今晚,新京報記者透過釘釘客服諮詢防止簽到作弊的問題。對方回應稱,對於使用惡意打卡軟體問題,管理員可以在安全設定中開啟“禁止惡意軟體打卡”功能。這樣一來,下載虛擬定位軟體之後,這些軟體就會對釘釘考勤的定位進行影響,打卡時便需要人臉識別驗證或禁止打卡。
另外,客服回應稱,釘釘一直在不斷最佳化,防止簽到不準和簽到作弊。主要方法有:簽到裝置提示,即系統自動判斷當前裝置和上一次裝置是否一致;後臺匯出簽到報表會記錄裝置號,若使用不同手機簽到則裝置號不同。另外,若安卓手機開啟地點模擬功能,則不允許簽到。
新京報記者 盧通 倪兆中
編輯 趙凱迪
校對 張彥君