【猎云网(微信号:ilieyun)】7月9日报道(编译:圈圈)
Android应用的权限设置旨在保护用户的数据信息。如果你不希望手电筒应用程序能够读取你的通话记录,你就应该拒绝该应用的访问权限。但事实却并非如此,即使你拒绝后,许多应用仍然可以找到读取数据信息的方法。研究人员发现超过1000个应用程序可绕过设定的限制,从用户设备上获取精确的地理位置和手机序列号等信息。
这一研究结果证明用户若想保护自己的在线隐私是多么困难。科技公司拥有数亿人的海量个人数据信息,比如他们去过哪里、有哪些朋友以及有什么兴趣爱好等。
立法者正试图通过隐私监管来实现这一目标,应用许可本应使用户可以选择放弃哪些数据。苹果公司和谷歌已经发布了能改善用户隐私的新功能,但应用却在继续寻找隐藏的方法来绕过这种保护。
国际计算机科学研究所(ICSI)的研究人员发现,即使是在用户明确拒绝授权之后,仍有多达1325个Android应用能绕过限制。在6月底,国际计算机科学研究所的可用安全和隐私研究主任Serge Egelman在美国联邦贸易委员会(FTC)的“隐私大会”(PrivacyCon)上介绍了这项研究。
“从根本上说,消费者几乎没有什么工具和线索可以用来合理地保护自己的隐私,也没有控制自己隐私的决定权。”Egelman在会议上说道,“如果应用开发者可以直接绕过系统,那么向消费者询问应用许可就没有意义了。”
Egelman表示,研究人员已于去年9月将这些问题告知谷歌和美国联邦贸易委员。谷歌回应称,该公司将设法解决Android Q系统中存在的该类问题,该系统是谷歌公司在2019年推出的新一代操作系统,适用于手机、平板电脑等移动终端设备。
谷歌表示,系统的更新将有助于解决上述问题。它可隐藏照片中的位置信息,令应用无法获取;同时还要求任何访问Wi-Fi的应用必须向用户发出请求,才能获取相关位置信息。
此研究观察了来自Google Play商店的8.8万多个应用,跟踪当用户拒绝了访问权限后,数据是如何进行传输的。违规操作的1325个应用程序使用了隐藏在其代码中的转换方法,该代码会从类似于Wi-Fi连接和照片存储的元数据等渠道获取用户个人数据信息。
研究人员发现,照片编辑应用Shutterfly一直都在从照片中收集用户的GPS坐标,并将这些数据信息发送到自己的服务器,哪怕用户拒绝授权该应用访问其位置数据也无济于事。但Shutterfly发言人则表示,不管研究人员发现了什么,该公司都只是在获得用户明确许可的情况下才收集用户位置数据信息。
Shutterfly发声明称:“跟许多照片服务一样,Shutterfly会使用位置数据来增强用户体验,向其提供分类和个性化产品建议等功能,所有这些都符合Shutterfly的隐私政策以及Android开发者协议。”
有些应用依靠其他被授权的应用程序来查看个人数据并收集IMEI码等手机序列号。这些应用会读取用户设备SD卡上那些不受保护的文件,并获取本无权限访问的数据信息。因此,如果你让其他应用访问个人数据,并将其存储在SD卡上的文件夹中,这些间谍应用就可以获取该数据信息了。
研究人员称,虽然只有大约13个应用这样做,但其安装次数之和达到了1700万次以上,其中包括像百度的香港迪士尼乐园等应用。百度和迪士尼尚未就相关置评请求作出回应。
研究人员发现,有153个应用具备这种能力,其中包括三星的健康和Browser应用,而共有5亿多台设备安装了这些应用。三星也并未回复相关置评请求。
其他应用则通过连接到Wi-Fi网络、并计算出路由器的MAC地址来收集位置数据,其中包括一些可被用作智能遥控器的应用,这类应用本不需要用户位置信息就可使用。
Egelman称,他将在8月的Usenix Security安全大会上介绍此次研究,届时将会公布研究人员发现的这1325个应用的详细信息。