当心！绕过用户授权，获取个人位置信息：部分小程序“漏洞”可能被利用

明明拒绝了小程序获取自己的位置信息，后台还是能精准定位。这究竟是怎么做到的？

近日，有媒体测试了此项漏洞，绕过用户授权，获取并存储了用户所在地点的经纬度信息。

测试中，只要是系统中设置允许微信APP可获取用户位置信息，那么到了小程序中，即使在未经用户授权的情况下，某些小程序能够利用API接口偷偷获取用户当前地理位置点坐标，并成功将坐标导到小程序后台。

在系统设置中，允许微信访问用户位置信息：

在小程序中，拒绝提供个人位置信息：

以正常的小程序(如摩拜)为例，关闭小程序定位授权时，它的定位信息显示在了非洲 ——

为何是非洲？其实这是GPS坐标未赋值时的0,0位置：

危险小程序则可非法收集用户位置经纬度信息：

这些定位信息，或居于设备的GPS，或居于基站、Wi-Fi，“准头价值”还是较大的。

而根据《网络安全法》规定，网络运营者收集、使用个人信息时，应经被收集者同意。

国家标准《信息安全技术个人信息安全规范》也要求，个人信息控制者收集、分享精准定位等个人敏感信息前，应征得个人信息主体的明示同意。

因此，在用户未授权未知情情况下，直接获取用户位置信息，显然已经侵犯了公民隐私。

而如果公民位置信息被用于非法用途，那就更是值得警惕了。

此前，就市面上就有不少专门为“捉小三”、“催债”等提供的所谓“位置获取”工具，原理和方法也是各种各样：

从运营商或执法部门“内鬼”非法查询途径，到黑产，到“黑客”手段，也包括微信、QQ等的位置获取等等都有，为了达到目的，真可谓无所不用其极了（比如本文末尾的各种方法）。

之前也曾出现一种利用“分享链接”给对方，借助对方疏忽大意点击了“同意”授权按钮而获取地理位置信息的方式，相比今天介绍的漏洞而言，可谓并不高明，后者更加隐蔽，几乎可以说是在无感知状态下就泄露了信息，危害更胜一筹。

最后需要一提的是，据老编所知道的，至少2年之前这个“漏洞”就应该是已经一直在被利用了，不想如今依然被人挖掘发现仍然有效。

相关文章：

• SIM卡漏洞曝光：被用来追踪人们位置…
  

• 互联网APP触碰公民隐私红线，个人信息如何保护？
  

• 21世纪以来14起最大的数据泄露事件
  

• 中通快递泄漏客户信息，客户被诈骗16000多元！
  

• 快递信封重复使用泄漏他人信息 汇丰银行回应并致歉【金融曝光台】