Photo from flickr CC by Yuri Samoilov

編譯/陳慧敏

當下載電子書閱讀工具Adobe Digital Edition 4,想必你會秒按同意授權按鍵,但你不知道的是,拿到這張同意書,Adobe就開始監控你的閱讀習慣,然後以不加密的文件回傳到Adobe伺服器,你可能被Adobe「看光光」囉。

日前Adobe 9月初推出的電子書閱讀工具(Digital Edition 4,DE4)被網民踢爆,監控讀者所有閱讀行為,用不加密的方式,把敏感資料回傳給Adobe伺服器。廣泛使用Adobe軟體的美國圖書館協會,出面要求Adobe改善資安漏洞,並著手調查是否違反隱私權法律,Adobe坦承疏失,承諾將在2014年10月20日前,更新版本改善安全漏洞,但Adobe也強調,其資料收集都符合使用者授權同意書和公司隱私權政策。

Adobe的資安漏洞,一開始是由美國網友Nate Hoffeldery在10月7日,在自己的部落格The Digital Reader踢爆,他得到匿名駭客朋友告知Adobe有違反資安和侵犯隱私權問題後,請求曾披露Kiddle閱讀器資安漏洞的德國研究員穆斯勒(Benjamin Daniel Mussler)協助,證實此問題。科技網站Ars Techica隨後跟進報導,進行Digital Editions 4 實測,得到相同結論,並發布新聞警告讀者。

Ars Techica和Hoffeldery的實測皆發現,Adobe不僅傳送以DE4閱讀的電子書相關資訊,還把不使用DE4軟體閱讀的EPUB格式電子書(比如用Calibre管理平台來存放的電子書),通通納入監控範圍,會詳細收集使用者閱讀時間、比例、閱讀順序等資訊,回傳Adobe伺服器,可能侵犯隱私權法規。同時,收集的資訊是以不加密的純文本格式(plain text)傳輸,極易被第三者攔截盜用,有嚴重的資安疑慮。

《圖書館期刊》(Library Journal)指出,Adobe監控使用者閱讀行為的舉措,引發部分美國公立圖書館憤怒,閱讀行為的資訊應屬個人隱私。美國公立圖書館採用Overdrive電子書借閱平台,此平台建議使用DE4閱讀工具,是Adobe的大客戶。

Digital Book world報導,美國圖書館協會(American Library Association,ALA)理事長楊(Courtney Young)13日出面要求Adobe即刻修正傳輸不加密的資安缺失,並宣示接下來將調查Adobe是否違反聯邦或州的商業/貿易與隱私權法律,以捍衛圖書館讀者和社會大眾的隱私權。

楊表示,未來希望跟業者對話溝通,確認業者只能收集必要資訊,而且業者必須妥善保護被收集的資訊,運用後,應儘快刪除,同時必須清楚且明確地列出使用者授權的項目。

Adobe公司發布聲明回應,將在10月20日之前提出更新版本,以解決傳輸未加密文件的資安問題,但並未解釋為何資料傳送未曾加密。

Adebe 坦承,確實有收集資料的動作,收集的資料包括:Adobe ID、裝置ID、裝置IP位置、閱讀書籍時間、閱讀順序、閱讀比例等,但僅限於正以DE4閱讀的電子書,不包括讀者的其他藏書,這些資訊用以協助出版商等單位,保護版權並運作租書、訂閱等商業模式。此外,Adobe強調資料收集都符合使用者授權協議書,以及Adobe隱私權政策。

資料來源:

  1. Adobe is Spying on Users, Collecting Data on Their eBook Libraries(部落格The Digital Reader)
  2. ADE in the Library eBook Data Lifecycle(美國圖書館資訊與科技協會)
  3. Adobe’s e-book reader sends your reading logs back to Adobe—in plain text
  4. Your Privacy Has Just Been Violated
  5. Adobe Responds to ALA Concerns Over E-Book Privacy
  6. ALA Confronts Adobe on Ebook Data Gathering
  7. Adobe responds to ALA on egregious data breach; some action expected by week of Oct. 20(美國圖書館協會新聞稿)
  8. Adobe Confirms It’s Gathering Ebook Readers’ Data
  9. Adobe Confirms It’s Gathering Ebook Readers’ Data
  10. Adobe的產品與文化、你的隱私與安全、電腦教授的良知與職業道德
  • 用Line傳送