手机虚拟定位软件开发者被判刑!隐私数据所有(转载) - 非主流文化(Counterculture)版 - 北大未名BBS
返回本版
1
/ 1
跳转

手机虚拟定位软件开发者被判刑!隐私数据所有(转载)

[复制链接]
楼主

Baandarin [在线]

板子

4.9维尼熊

发帖数:6779 原创分:0
<ASCIIArt> 1楼

原文由 Baandarin 发表在 Networking 版 >>>

核心要点:阿里钉钉的开发团队可以获得某一用户的淘宝/支付宝购买记录详细信息;钉钉的数据归使用者的雇主,而不是归使用者;更改自己手机的数据去欺骗手机APP(定位数据)是犯罪!


https://www.zhihu.com/question/491477939



经法院审理查明:



张某某于2017年至2019年在北京市海淀区运营北京得牛科技有限公司期间,开发大牛助手APP并通过互联网推广该APP 10万余人次。大牛助手APP可对被害单位阿里巴巴(中国)有限公司开发的钉钉系统处理、传输的地理位置数据进行未授权地干扰,破坏钉钉系统获取用户真实地理位置的功能。经鉴定,大牛助手APP为破坏性程序。


2019年5月31日,张某某被公安机关抓获归案。


针对上述事实,公诉人当庭宣读并出示了如下证据材料:


1、张某某的供述证实:其在2017年成立了北京得牛科技有限公司并担任CEO,公司的法定代表人是张某1,其用他的身份证注册该公司,公司主要开发手机应用软件并提供有偿使用服务。


其公司开发的软件是大牛助手APP,其公司购买深圳罗盒科技有限公司虚拟程序APP的使用权后,对该APP的界面进行优化并添加充值接口,然后就上线运行了。


其公司一共22人,有安卓开发程序员、有做服务器的、有做客服的、有做人力资源的、有做UI设计的、有媒体运营人员、有ASO专员管理应用商店、有测试人员、有产品经理还有IOS开发程序员,客服的工作内容是帮助用户解答使用其公司软件出现的各类问题,程序员负责大牛助手APP的研发,ASO专员负责大牛助手APP上传至应用商店。


大牛助手可以进行其他APP的多开分身使用,其和数据部交代过在不改变其他APP源代码的情况下,通过虚拟位置信息、wifi信息和照片信息,对其他APP该类信息进行修改。


当用户使用其他APP不想暴露自己的位置信息时,大牛助手APP就对用户的位置进行遮蔽,当用户想要修改自己位置信息时,大牛助手可以进行修改,修改时打开大牛助手APP,将需要改变定位信息的APP添加到大牛助手的列表中,点击模拟定位功能,然后在地图上选择需要修改的位置即可。


大牛助手的新注册用户有12小时免费试用时间,包月会员是每月25元,年费会员是每年89元,用户通过支付宝和微信支付,目前其公司通过大牛助手APP一共赚了四五百万元。


其咨询过律师和朋友,大牛助手APP没有改变其他需要使用虚拟定位功能APP的源代码,只是改变了它回传到服务器的位置信息。


2、证人闫某的证言证实:其是北京得牛科技有限公司产品经理,主要做市场调研。其在软件正式开发之前提出概念,初步做一套模型,但仅做软件功能展示使用,配合文字说明与大家进行开发评审,其现在的主要任务就是研究大牛助手APP手机定位服务。大牛助手APP以模拟定位为主,一般是上班族上班打卡和学生早操打卡用。这个APP做出来的数据都不是真实的,该软件的收费是一年89元、一个月25元。


3、证人生某的证言证实:其是北京得牛科技有限公司在线客服,平时客户遇到问题时,通过官网上的QQ与其联系,其来解决问题。其有时也会让客户提供本人手机安卓系统和现在使用的软件版本号以及所模拟的应用信息,根据这些信息使用模拟器进行测试,找到问题后反馈解决办法。其公司生产的大牛助手APP分为ROOT版和非ROOT版,苹果手机分越狱版和非越狱版。大牛助手APP在免ROOT环境下运行数据测试工具,拥有模拟打卡、模拟路线、wifi模拟、拍照模拟等功能。这个软件的收费标准是一年89元、一个月25元。


4、证人张某的证言证实:其是北京得牛科技有限公司推广,实际工作的时候负担了一部分客服和UI设计工作,客服方面主要是处理客户反馈的问题。其做客服的时候有用户向其咨询过钉钉打卡问题,其的反馈是要看用户的手机系统而定,有的手机系统能用,有的不能用。其认为大牛助手APP让用户自由修改手机软件位置是不合法的。


5、证人白某的证言证实:其是北京得牛科技有限公司的客服,其通过QQ跟客户交流他们使用中的问题并反馈给产品经理,产品经理把问题反馈给技术人员,问题解决了会在公司软件的版本更新中体现。客户反馈的主要是跟一些软件不兼容的问题,反馈钉钉软件的客户是最多的。


6、证人李某的证言证实:其是北京得牛科技有限公司Android开发工程师,其公司主要是开发并维护大牛助手软件,其主要负责Android环境下的软件开发。大牛助手软件主要功能是手机应用的双开环境和虚拟定位。有些手机定位软件读取位置信息,大牛助手可以虚拟一个位置让手机软件读取虚拟的位置信息,通过这种方式即使人没在公司也可以远程打卡,钉钉软件读取的结果是在公司已签到。软件读取用户选择的位置而不是真实位置是因为大牛助手拦截了读取的手机GPS信息,把之前储存好的位置信息反馈给读取软件,在大牛助手软件下打开了一个虚拟环境,相当于有一个root权限,有这个权限后就可以读取装在这个环境下的软件参数,达到修改参数和返回值的目的。其公司主要就是靠大牛助手软件会员费获利。


7、证人赵某的证言证实:其是北京得牛科技有限公司产品经理,其公司开发的有软件大牛助手、root版的大牛助手、大牛GPS,主要应用于微信、钉钉等大众软件,还有汪师傅等一些比较小众的软件,其的工作就是收集这些用户的需求然后给张某某发过去。其公司的软件是收费的,费用是张某某定的。


8、证人孙某的证言证实:其是北京得牛科技有限公司ASO助理,主要负责优化APP应用简介,在安卓应用市场中更新应用的安装包。张某某让其修改大牛助手在应用市场中的简介,告诉其如何修改,其编辑好之后让张某某确认,经他许可后其再到应用市场中去修改大牛助手的简介。大牛助手装在安卓系统上,大牛GPS是一个苹果设备,这个应用没有进入到APP STORE中,但可以通过某种方式安装。其公司和钉钉之间没有合作关系,大牛助手的多开功能是免费的,模拟定位功能是收费的。大牛助手和daniu大牛的总下载量有100多万次,但具体付费用户有多少其不清楚。其还帮助公司测试过大牛助手,其测试过百度地图、高德地图、QQ、微信、钉钉、抖音、快手等,其中,测试钉钉的目的是测试是否可以通过大牛助手的模拟定位功能做到异地打卡。


9、证人冯某的证言证实:其是北京得牛科技有限公司JAVA工程师,主要负责处理客户端请求的数据,与服务器之间相连接并存储于服务器等工作。其公司一共有四个服务器,两个专门用于连接软件,是阿里云的,服务器主要就是客户在注册时保存客户信息、购买会员信息以及客户反馈的信息,其公司主要靠客户购买大牛助手软件会员盈利。


10、证人陈某的证言证实:其负责对大牛助手在手机客户端使用过程进行测试,虽然都是安卓系统的手机,但因为生产商不同运行上会有差异性,其把这些手机上全部安装大牛助手,以用户的角度通过手机操作使用大牛助手软件,检测每部手机在使用时运行是否流畅,是否有软件崩溃、闪退、无法使用的情况,对用户在使用过程中发现的问题向公司反馈。


11、证人渠某的证言证实:其是北京得牛科技有限公司JAVA工程师,其公司软件设计的基本流程是张某某和产品经理提出意向和交互设计,工程师按照设计方案编写程序应用于软件内,UI设计各项功能使用界面,测试工程师实际使用软件发现BUG,软件完成测试后由APP上架员工完成应用商店上架流程。


12、证人郑某的证言证实:其在北京得牛科技公司做程序兼容方面的工程师,其是逆向工程师,主要负责不同的应用程序能兼容其公司的产品,让他们能在其公司软件上顺利运行等工作。其分析大牛软件的兼容性,然后去跟手机进行匹配,张某某看着其手里的工作量分配不同的手机去做兼容,其根据公司客服反馈用户的问题来做兼容。


13、证人周某的证言证实:其是阿里巴巴(中国)有限公司员工。


其公司研发运营的“钉钉”软件系统具有公司日常考勤管理功能,用户可以使用“钉钉”软件进行打卡考勤。


近日,其公司接到“钉钉”软件用户反馈,他们公司员工使用一款叫做“大牛助手”的软件进行“钉钉”打卡作弊。经其公司技术人员对“大牛助手Android系统1.1.1”进行分析,发现该软件绕过了“钉钉”无限安全保镖模块,劫持了“钉钉”平行空间检测接口,当“钉钉”的平行空间检测接口需要获取设备信息时,大牛助手通过重放技术伪造虚假数据,直接向“钉钉”的平行空间检测接口传输虚假数据,造成伪造打卡记录,干扰“钉钉”系统的正常运行。“钉钉”是其公司运营的一款类似于微信的即时聊天软件,是在互联网上使用的,其公司提供服务器支撑,所有的数据传输都是通过互联网系统,用户的手机客户端和其公司的数据服务器之间进行数据交互,从而完成“钉钉”软件的所有功能,该软件的独特功能就是可以进行公司考勤打卡、会议、请销假等企业管理功能。经初步统计,近一年有46 973个买家通过支付宝购买大牛助手的服务,获利2 627 713元,其中匹配“钉钉”软件打卡异常的买家用户7675个,涉及这些用户购买服务的会员费575 497元。


14、司法鉴定意见书证实:经过对Daniu大牛助手的软件代码进行功能鉴定,该软件代码具有模拟位置信息的功能,该软件代码存在对钉钉服务器获取用户真实地理位置的功能进行未授权地干扰的行为,为破坏性程序。经过对Daniu大牛(苹果越狱版)APP进行软件功能鉴定,运行Daniu大牛(苹果越狱版),可以在钉钉中完成不同位置的打卡,并可在钉钉的打卡统计结果中查询到模拟的打卡信息,具有通过模拟位置实现钉钉打卡的功能。经过对大牛助手(安卓免ROOT版)APP进行软件功能鉴定,运行大牛助手(安卓免ROOT版),可以在钉钉中完成不同位置的打卡,并可在钉钉的打卡统计结果中查询到模拟的打卡信息,具有通过模拟位置实现钉钉打卡的功能。


15、调取证据通知书证实:公安机关就本案向支付宝(中国)网络技术有限公司调取支付宝账号为×××@daniu.net近一年的注册信息、交易记录、转账记录、账户明细等证据材料的情况。


公诉人还当庭宣读并出示了由公安机关在侦查过程中调取的证人朱某1、金某、朱某2、胡某、罗某、付某的证言,举报材料,营业执照,受案登记表,到案经过,身份信息等证据材料。


经当庭质证,张某某及其辩护人对上述控方部分证据提出异议。


张某某认为本案证人或者不实际接触产品,或者陈述的不全面,证言不能做为定案依据;司法鉴定意见书与本案无关。其辩护人的质证意见与张某某的质证意见基本相同。


张某某辩称大牛助手APP取得了计算机软件著作权登记证书,该软件并不是针对钉钉系统研发,虚拟定位功能也不是该软件的全部功能,在实际应用中存在被用户滥用的现象,起诉书据此认定该软件为破坏性程序系以偏概全,并不准确;起诉书认定该软件被10余万用户使用亦与实际情况不符。其辩护人同意其辩解,同时认为,张某某主观上没有破坏计算机信息系统的故意,涉案软件并不会自动干扰钉钉软件的正常运行,用户操作该软件也仅仅造成了部分员工迟到早退的后果,没有达到后果特别严重的程度,认定张某某的行为构成犯罪明显超出了国民的预测可能性,故提请法庭宣告张某某无罪。


经查,本案证人从不同侧面说明了本案的事实,所做的陈述经公安机关依法调取并经本人签字确定,并无不当;司法鉴定意见书依照专业的鉴定方法和规范对涉案软件进行鉴定,在此基础上形成对涉案软件功能等的鉴定意见直接与本案相关联,故对于辩方提出的质证意见,法院不予采纳。法庭认为,公诉机关提交的证据形式及来源合法,内容客观、真实,对其证明效力,法院予以确认。


法院裁定:



张某某故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果特别严重,其行为已构成破坏计算机信息系统罪,应予惩处。北京市海淀区人民检察院指控张某某犯破坏计算机信息系统罪的事实清楚,证据确凿,指控罪名成立。


关于辩方提出的辩解及辩护意见,经查,在案证据显示,张某某在组织研发大牛助手APP过程中,其行为涵盖了市场调查、研究开发、软件测试、应用上架、定价收费、客户服务、升级更新等软件开发、推广、维护的全部流程,在上述过程中,张某某依据市场需求向技术人员提出产品意向和设计要求,其对大牛助手APP根据用户设置而向包括钉钉在内的其他应用程序返回虚假数据的功能不仅存在明知,还根据用户反馈的问题对大牛助手APP进行兼容优化和更新并以此做为最主要的牟利手段,故张某某对于大牛助手APP对其他应用程序与服务器之间传输的数据进行未授权地干扰持积极的追求态度,主观上具有破坏计算机系统的故意。


大牛助手APP的运行阻断了钉钉服务器与用户之间的正常数据交换并通过返回虚假数据对钉钉服务器获取用户真实地理位置功能进行未授权地干扰,造成计算机系统无法正常运行,经鉴定为破坏性程序;该软件已经按照张某某的设计初衷被实际应用,造成了相关企业的管理混乱以及钉钉软件开发者的损失,张某某制作、销售上述软件的行为在直接妨害企业正常经营管理秩序的同时为其带来了巨额经济利益,已经造成了相当的法律后果。大牛助手APP通过微信和支付宝收取会员费用谋利,公安机关调取了支付宝的后台数据,公诉机关排除了已经安装大牛助手APP但重复交费的人数,故以此认定该软件传播的人次并无不当。综上,对于辩方提出的辩解和辩护意见,本院不予采纳。依照《中华人民共和国刑法》第二百八十六条第三款、第一款之规定,判决如下:


张某某犯破坏计算机信息系统罪,判处有期徒刑五年六个月。

签名档

板子病不定时发作中( ̄ε(# ̄)☆╰╮o( ̄皿 ̄///)

发表于2021-10-13 11:40:39

Kurapica [在线]

库卡

9.5开国大老

发帖数:6.2万 原创分:10
<ASCIIArt> 2楼

耽误二鬼子帮鬼子照看劳工了,当然有罪


Baandarin (板子) 在 ta 的帖子中提到:

【 以下文字转载自 Networking 讨论区 】

【 原文由 Baandarin 所发表 】

核心要点:阿里钉钉的开发团队可以获得某一用户的淘宝/支付宝购买记录详细信息;钉钉的数据归使用者的雇主,而不是归使用者;更改自己手机的数据去欺骗手机APP(定位数据)是犯罪!

……


发表于2021-10-13 17:32:55

Homagod [离线]

不愉快なら問答無用、撃て

9.2九莲宝灯

发帖数:3.8万 原创分:28
<ASCIIArt> 3楼

别开来刷pkurunner了!

Baandarin (板子) 在 ta 的帖子中提到:

核心要点:阿里钉钉的开发团队可以获得某一用户的淘宝/支付宝购买记录详细信息;钉钉的数据归使用者的雇主,而不是归使用者;更改自己手机的数据去欺骗手机APP(定位数据)是犯罪!

https://www.zhihu.com/question/491477939

经法院审理查明:

……

签名档

“就把你能治好的人给治好吧。我的伤…已经不是你能治好的了” 【WA2】

交换温柔的谎言只会换来温柔的、无慈悲的、永无止境的折磨。

“尽管思考、挣扎、痛苦、煎熬、烦恼吧,不然就称不上真物。” 【春物】

社会化让理念人们摸不透自己的本心,打破国家/社会神话后才有真正的自由与真实。

“恭喜你了泽村同学。终于,你也像我一样,变成了一个他不可能作为女孩子看待的女孩子,变成了一个他绝对不可能爱上的,崇拜的偶像。”【路人女主】

对等的爱情建基于对等尊重与爱慕,敬重与鄙夷均会使之变味。

发表于2021-10-13 17:40:41

opteronx [离线]

删库跑路

5.1常规潜艇

发帖数:9871 原创分:1
<ASCIIArt> 4楼

这软件好像是hook了钉钉本体了吧

Baandarin (板子) 在 ta 的帖子中提到:

核心要点:阿里钉钉的开发团队可以获得某一用户的淘宝/支付宝购买记录详细信息;钉钉的数据归使用者的雇主,而不是归使用者;更改自己手机的数据去欺骗手机APP(定位数据)是犯罪!

https://www.zhihu.com/question/491477939

经法院审理查明:

……

签名档

0x2d6a7b0f6adeff38423d4c62cd8b6ccb708ddad85da5d3d06756ad4d8a04a6a2

发表于2021-10-13 18:28:41

sswu [在线]

笙歌流转

1.0一般站友

发帖数:7 原创分:0
<ASCIIArt> 5楼

说白了钉钉就是流氓软件

Baandarin (板子) 在 ta 的帖子中提到:

核心要点:阿里钉钉的开发团队可以获得某一用户的淘宝/支付宝购买记录详细信息;钉钉的数据归使用者的雇主,而不是归使用者;更改自己手机的数据去欺骗手机APP(定位数据)是犯罪!

https://www.zhihu.com/question/491477939

经法院审理查明:

……

发表于2021-10-13 21:28:30
返回本版
1
/ 1
跳转

请您先 登录 再进行发帖

快速回复楼主
标题
建议:≤ 24个字
签名档
发布(Ctrl+回车)

您输入的密码有误,请重新输入