?
業內新聞

開源編輯器 Atom 未經同意收集用戶數據

編輯/作者:安安 2019-11-28 我要評論

Atom 是 GitHub 專門為程序員推出的一個跨平臺文本編輯器。昨日,有用戶給 Atom 提 issue 稱其未經同意收集用戶數據。 首次啟動 Atom 時,它會在 未經同意的情況下 聯系在...

  Atom 是 GitHub 專門為程序員推出的一個跨平臺文本編輯器。昨日,有用戶給 Atom 提  issue  稱其未經同意收集用戶數據。 “首次啟動 Atom 時,它會在未經同意的情況下 聯系在 Amazon 服務器上運行的 Microsoft/GitHub 進程,并將我的 IP 地址和時間戳泄露給制造商,把我使用 Atom 的事實(通過出站請求)傳輸給成千上萬的其他人和組織。”

  這位名為 Jeffrey Paul 的用戶表示是在首次啟動 Atom 時遇到了該問題。他發現在自己的信息已經被收集并發送出去之后,主應用程序窗口才打開是否連接服務器的詢問對話框。而這一問題 100% 能夠復現,也就是說并非偶然事故。

  Paul 指出,用戶的 IP 地址以及跟蹤/遙測/分析/自動更新目標主機 IP 等信息都在首次啟動時被傳輸出去,前兩個數據中還包括時間戳。“該元組(用戶源 IP,atom.io 目標 ip,TCP 端口,TLS SNI 主機名,時間戳記)從用戶計算機發送時,其使用情況信息就會泄漏給成千上萬的不同人:ISP,托管提供商,網絡交換,情報服務者,Microsoft 內部系統管理員,GitHub 系統管理員和 Amazon 網絡管理員。用戶根本沒有機會選擇退出,或是阻止它,甚至沒有意識到它的發生。”

  為此,Paul 感到氣憤,并依照“間諜軟件”的定義——間諜軟件是一種軟件,有時甚至在其不知情的情況下收集有關個人或組織的信息,并在未經用戶同意的情況下將此類信息發送給另一個實體——將 Atom 歸為間諜軟件。

  他還提到,這種情況的出現意味著 PR #12281 上的工作尚未完成。這是 2016 年 Atom 團隊提出的“添加遙測同意設置”,該設置用于確定是否收集用戶的使用信息。而目前,根據 Paul 的描述,甚至沒有出現同意對話框,數據就已經被上傳了。

  Atom 團隊的 Arcanemagus 隨后在下方回復,表示“Atom 設計為在連接網絡的環境中運行,可以執行諸如檢查更新之類的操作而不會提示用戶……您當然可以自由地阻止網絡訪問,并且如果您愿意,Atom 也可以在脫機模式下運行。”

  但顯然,這一說法不夠有說服力,Paul 提出反擊:“沒有人說它不應該使用網絡,它只是在用戶授予其權限之前不應該使用網絡,否則會造成數據泄漏,這就是同意對話框存在的意義。”

  Arcanemagus 仍然認為阻止網絡訪問即可,還說,“這不是 Atom 團隊當前有興趣更改的東西”。

  來自 Atom 團隊的 Lee Dohm 發表了最終回應,承認遙測程序包不應該在單擊按鈕之前發送信息,并將調查它與 central.github.com 的過早連接。但另一方面,他堅持 Atom 的設計模式如此,剩下的部分,特別是自動更新檢查,仍保留當前的設計方式。以及,再次表明,“如果您想要一個可以完全脫機工作且沒有任何網絡連接的編輯器,則 Atom 不適合您。”

  此外,經過復現實驗,Paul 還提出了另一個 issue,他發現即便明確拒絕同意并退出遙測,遙測信息還是會被發送。這一情況的復現率也為 100%。

  在 2016 年那條添加遙測同意設置的 PR 下,又有網友展開了新的討論。其中一名用戶說道,“按目前的情況,這可能違反了 GDPR(General Data Protection Regulation,一般數據保護條例)。”

文章來源:cnbeta

1.本站遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.本站的原創文章,請轉載時務必注明文章作者和來源,不尊重原創的行為我們將追究責任;3.作者投稿可能會經我們編輯修改或補充。4、對于網友投稿的文章請仔細核對其真實性,如遇要求匯款轉賬情況,請格外謹慎。

相關文章
  • 2019年高校網絡信息安全研討會在西安召開

    2019年高校網絡信息安全研討會在西安召開

  • 開源編輯器 Atom 未經同意收集用戶數據

    開源編輯器 Atom 未經同意收集用戶數據

  • “補天杯”破解大賽火熱進行 白帽黑客60秒內攻

    “補天杯”破解大賽火熱進行 白帽黑客60秒內攻

  • 工信部組織開展“校園行”系列反詐宣傳活動

    工信部組織開展“校園行”系列反詐宣傳活動

? 吉林快三跨度和制图