Adobe电子书隐私疑虑延烧 美国图书馆协会挺身捍卫读者权益

Adobe电子书隐私疑虑延烧 美国图书馆协会挺身捍卫读者权益

Photo from flickr CC by Yuri Samoilov

当下载电子书阅读工具Adobe Digital Edition 4,想必你会秒按同意授权按键,但你不知道的是,拿到这张同意书,Adobe就开始监控你的阅读习惯,然后以不加密的文件回传到Adobe伺服器,你可能被Adobe「看光光」啰。

日前Adobe 9月初推出的电子书阅读工具(Digital Edition 4,DE4)被网民踢爆,监控读者所有阅读行为,用不加密的方式,把敏感资料回传给Adobe伺服器。广泛使用Adobe软体的美国图书馆协会,出面要求Adobe改善资安漏洞,并着手调查是否违反隐私权法律,Adobe坦承疏失,承诺将在前,更新版本改善安全漏洞,但Adobe也强调,其资料收集都符合使用者授权同意书和公司隐私权政策。

Adobe的资安漏洞,一开始是由美国网友Nate Hoffeldery在10月7日,在自己的部落格The Digital Reader踢爆,他得到匿名骇客朋友告知Adobe有违反资安和侵犯隐私权问题后,请求曾披露Kiddle阅读器资安漏洞的德国研究员穆斯勒(Benjamin Daniel Mussler)协助,证实此问题。科技网站Ars Techica随后跟进报导,进行Digital Editions 4 实测,得到相同结论,并发布新闻警告读者。

Ars Techica和Hoffeldery的实测皆发现,Adobe不仅传送以DE4阅读的电子书相关资讯,还把不使用DE4软体阅读的EPUB格式电子书(比如用Calibre管理平台来存放的电子书),通通纳入监控範围,会详细收集使用者阅读时间、比例、阅读顺序等资讯,回传Adobe伺服器,可能侵犯隐私权法规。同时,收集的资讯是以不加密的纯文本格式(plain text)传输,极易被第三者拦截盗用,有严重的资安疑虑。

《图书馆期刊》(Library Journal)指出,Adobe监控使用者阅读行为的举措,引发部分美国公立图书馆愤怒,阅读行为的资讯应属个人隐私。美国公立图书馆採用Overdrive电子书借阅平台,此平台建议使用DE4阅读工具,是Adobe的大客户。

Digital Book world报导,美国图书馆协会(American Library Association,ALA)理事长杨(Courtney Young)13日出面要求Adobe即刻修正传输不加密的资安缺失,并宣示接下来将调查Adobe是否违反联邦或州的商业/贸易与隐私权法律,以捍卫图书馆读者和社会大众的隐私权。

杨表示,未来希望跟业者对话沟通,确认业者只能收集必要资讯,而且业者必须妥善保护被收集的资讯,运用后,应儘快删除,同时必须清楚且明确地列出使用者授权的项目。

Adobe公司发布声明回应,将在10月20日之前提出更新版本,以解决传输未加密文件的资安问题,但并未解释为何资料传送未曾加密。

Adebe 坦承,确实有收集资料的动作,收集的资料包括:Adobe ID、装置ID、装置IP位置、阅读书籍时间、阅读顺序、阅读比例等,但仅限于正以DE4阅读的电子书,不包括读者的其他藏书,这些资讯用以协助出版商等单位,保护版权并运作租书、订阅等商业模式。此外,Adobe强调资料收集都符合使用者授权协议书,以及Adobe隐私权政策。

上一篇: 下一篇: