原標題：釘釘打卡遭破解，手機定位系高風險權限易導致隱私泄露

釘釘打卡功能正面臨破解難題。5月13日，記者在北京市東城區打開一款破解軟件，通過虛擬位置設定，順利將釘釘打卡的位置設置到1200公里外的上海。遠程打卡幾秒鐘便實現了。

作爲當下職場的熱門應用，釘釘的用戶數已經超過2億，大量企業使用釘釘記錄員工的考勤情況。但新京報記者調查發現，釘釘打卡的破解軟件充斥網絡，下載破解軟件後按照操作教程的指引，即可任意設定位置併成功打卡。

多名商家稱，此類軟件對用戶沒有任何風險，但網絡安全專家告訴新京報記者商傢俬自開發的“虛擬定位”軟件大多未經專業技術檢測，使用者的個人信息處於極大的風險之中。

“手機定位這一權限是高風險權限，對方獲取之後，很有可能導致個人隱私的泄露。”專家稱。

在QQ搜索“釘釘代打卡”時出現的銷售羣。網頁截圖

添加位置即能實現異地打卡

新京報記者在網絡輸入“釘釘”、“打卡”、“遠程”等關鍵詞，可以搜索到多個相關結果。此前，記者在淘寶網上發現，該平臺出現多個售賣釘釘破解軟件的商家。

新京報記者聯繫上其中一名商家後，按照正常程序下單，隨後便收到客服人員的微信號。記者添加微信後，對方表示可提供遠程打卡及代簽到服務。

客服人員向記者發送多條信息，包括價目表、操作教程視頻、下載鏈接。價目表顯示，“釘釘打卡價格爲一個月55元，一年198元”。

記者根據對方發送的鏈接，下載了一款名爲“全球通”的軟件。點開軟件，首先出現驗證碼輸入頁面。客服人員提到，用戶可按照自己的意願，選擇軟件使用時長，支付費用後纔可以獲取驗證碼。

記者按照操作教程獲取驗證碼後進入軟件界面。軟件下方是一個“添加應用”的按鈕，記者將釘釘添加到頁面後，再輸入需要打卡的位置便操作完畢。

5月13日，記者在北京朝陽區勁松一帶時，通過上述軟件將打卡位置設定爲東城區磁器口，點擊打卡後，異地遠程打卡輕鬆實現。

商家承認破解軟件系“灰色”產品

“有新加坡的，有馬來西亞的。”多位破解軟件的售賣者介紹，他們的客戶羣體分佈十分廣泛，除了國內市場業務外，還發展海外業務。

一名商家告訴新京報記者，國內客戶既有普通企業的職員，也有機關單位工作人員。“機關單位的人十分謹慎，他們對保密性要求很高，所以我們的產品是有保證的。”

該商家介紹稱，他售賣的打卡軟件分蘋果版與安卓版兩種，安卓版只需下載軟件，蘋果版則需購買一款類似U盤插頭，使用時需要把插頭插入手機充電口。

在軟件運行原理方面，這名商家表示，安卓版相當於下載了一個破解版的釘釘，而蘋果版則是使用了軟件提供的虛擬位置。

一名商家在展示蘋果手機專用的破解裝置。網頁截圖

購買軟件的方式有買斷和租用兩種。買斷軟件可以享受無限次打卡服務，價格是350元；租用軟件每個月需要支付120元。如遇軟件升級，用戶還需另付數十元升級費纔可繼續使用。

這位商家保證，軟件升級後，舊版軟件仍能使用，只不過性能不如新版。“所以建議客戶還是及時付費升級，我們開發軟件的投入也很大”。

另一位商家則介紹，在目前火爆的市場需求下，他們已經實現工廠流水線生產，軟件的質量也相對有保證。他進一步推銷稱，如果一次拿10套以上，每套可優惠150元；一次拿20套以上，每套優惠可達200元。

破解軟件是否會導致用戶個人信息泄露？對方十分肯定地表示，不會竊取用戶個人信息。“做虛擬位置服務是合法的，是正常業務，如要竊取個人信息，團隊得增加大量人力物力，而且竊取個人信息是違法犯罪行爲，根本沒必要去冒險。”

這名商家同時也坦承說，破解軟件具有“灰色性質”。“這是上不了檯面的東西，因此不能在一些網購平臺公開售賣”。對於軟件的開發公司、研發時常及工作原理，對方諱莫如深，並未向記者透露。

專家稱代打卡軟件存安全風險

雖然受訪的多位商家堅稱打卡軟件十分安全，但在專家看來，類似的破解軟件存在很大風險。

一位不願具名的網絡安全專家表示，使用此類軟件時，個人信息泄露風險極大。手機定位這一權限是高風險權限，對方獲取之後，很有可能導致個人隱私的泄露。

一位商家在網上展示蘋果手機專用的破解裝置。網頁截圖

專家透露，通過蘋果系統下載軟件，必須通過官方市場認證。根據商家的描述，破解軟件不太可能通過官方市場下載，因此，認證的證書可能是企業級證書。“使用企業級證書導致安全等級降低，如果開發者還使用這個企業證書開發了其他軟件，對於手機用戶的信息竊取風險便不可避免。”

專家表示，如果此類軟件僅僅定位而沒有竊取信息，嚴格來講並不違法，但卻違反了誠信原則。員工使用此破解軟件是使用欺騙手段使自己背上道德風險，一旦公司追究此事，一切後果只能由使用者承擔。

“如果某些公司有意去查證某個員工的打卡記錄，從技術上並不難實現，因此不建議大家使用。”專家稱。

今晚，新京報記者通過釘釘客服諮詢防止簽到作弊的問題。對方回應稱，對於使用惡意打卡軟件問題，管理員可以在安全設置中開啓“禁止惡意軟件打卡”功能。這樣一來，下載虛擬定位軟件之後，這些軟件就會對釘釘考勤的定位進行影響，打卡時便需要人臉識別驗證或禁止打卡。

另外，客服回應稱，釘釘一直在不斷優化，防止簽到不準和簽到作弊。主要方法有：簽到設備提示，即系統自動判斷當前設備和上一次設備是否一致；後臺導出簽到報表會記錄設備號，若使用不同手機簽到則設備號不同。另外，若安卓手機開啓地點模擬功能，則不允許簽到。

新京報記者 盧通 倪兆中