超過1000個(gè)Android應(yīng)用程序欺騙性地收集個(gè)人數(shù)據(jù)

這些應(yīng)用程序規(guī)避了Android權(quán)限，旨在將個(gè)人數(shù)據(jù)保留在開發(fā)人員手中，研究人員發(fā)現(xiàn)，即使用戶明確禁止收集數(shù)據(jù)，也有超過1,000個(gè)Android應(yīng)用程序可以共享和接收個(gè)人信息。

該調(diào)查結(jié)果已經(jīng)提交給與會(huì)者在PrivacyCon 2019，他們不只是專注于晦澀的應(yīng)用程序。事實(shí)上，包括迪士尼和三星在內(nèi)的大公司被發(fā)布用于發(fā)布蔑視用戶期望的隱私約定的應(yīng)用程序。

所有受影響的應(yīng)用程序都有一個(gè)共同點(diǎn) - 它們都運(yùn)行在相同的軟件開發(fā)工具包(SDK)上。這里提出的問題是由科技巨頭百度在一家名為Salmonads的分析公司的幫助下完成的。

SDK是為開發(fā)人員提供的一組工具，可以使構(gòu)建應(yīng)用程序變得更加容易 - 就像一個(gè)基于項(xiàng)目的框架而不必從頭開始編寫代碼。就好像所有的大眾Polos，奧迪S3和福特福克斯都使用相同的軸 - 它們都是不同的，但共享相同的骨干。

讓我們假設(shè)有兩個(gè)應(yīng)用程序：App 1和App 2.兩者都基于相同的百度SDK，但用戶已撤銷App 1的權(quán)限以收集個(gè)人數(shù)據(jù)。但是，用戶尚未撤銷App 2的數(shù)據(jù)收集權(quán)限。因此，App 1仍然可以從App 2的集合中收集數(shù)據(jù)，因?yàn)樗鼈兌际窃谕粋€(gè)SDK上構(gòu)建的。

就實(shí)際收集的數(shù)據(jù)而言，這有點(diǎn)混亂。設(shè)備MAC地址是最普遍收集的數(shù)據(jù)形式，但也收集了路由器MAC地址和設(shè)備IMEI號(hào)。在一個(gè)特定情況下，還收集了GPS數(shù)據(jù)。

收集GPS數(shù)據(jù)的應(yīng)用程序稱為Shutterfly，并且在發(fā)布時(shí)已在Google Play商店下載超過138,000次。它使用來自用戶圖像的EXIF元數(shù)據(jù)收集GPS數(shù)據(jù)，并將其發(fā)送回自己的服務(wù)器，沒有位置許可。

“雖然這個(gè)應(yīng)用程序可能無意繞過許可系統(tǒng)，但這種技術(shù)可以被惡意行為者利用來獲取對(duì)用戶位置的訪問權(quán)限，”研究中讀到。“每當(dāng)啟用地理位置的用戶拍攝新照片時(shí)，任何對(duì)照片庫具有讀取權(quán)限的應(yīng)用程序都可以在拍攝照片時(shí)了解用戶的精確位置。

“此外，它還允許從用戶獲得帶有時(shí)間戳的歷史地理位置修復(fù)，以后可用于推斷有關(guān)該用戶的敏感信息，”它補(bǔ)充說。

研究人員表示，在獲取MAC地址信息的應(yīng)用程序中，Android本身通過單獨(dú)的權(quán)限保護(hù)訪問設(shè)備和路由器MAC地址。無論如何，他們?nèi)匀挥^察到應(yīng)用程序在沒有權(quán)限的情況下訪問地址。

這些應(yīng)用程序使用C ++本機(jī)代碼調(diào)用了許多無人看守的UNIX系統(tǒng)調(diào)用，從而可以訪問帶有旁通道的地址。這些方法被稱為“欺騙性”，甚至可能誤導(dǎo)最勤奮的用戶。

聯(lián)邦貿(mào)易委員會(huì)(FTC)對(duì)移動(dòng)運(yùn)營商和第三方圖書館進(jìn)行了罰款，用于利用旁道和使用MAC地址推斷用戶的位置。

研究人員表示，對(duì)于目前處于測試階段的Android Q的移動(dòng)操作系統(tǒng)的下一版本，他們的研究結(jié)果中概述的一些問題將得到修復(fù)，但這可能不夠好。

Android操作系統(tǒng)更新不是強(qiáng)制性的，據(jù)統(tǒng)計(jì)，許多用戶在升級(jí)到最新版本時(shí)都不是很勤奮 - 例如，只有10.4%的Android用戶使用最新的Android 9 Pie安裝。