注意！安卓應用正在用這些方式「偷窺」你的數據

【獵雲網（微信號：ilieyun）】7月6日報道（編譯：檸萌）

如果沒有發現這樣的詭計，你可能會欽佩谷歌多年如一日的堅持。為了阻止安卓應用在未經用戶許可的情況下掃描用戶的數據，谷歌花了多年的時間努力應對，而應用的開發人員也一直在尋找新的方法來繼續跟蹤用戶。

在上周四由美國聯邦貿易委員會主辦的為期一天的PrivacyCon大會上，進行了一場演講，概述了應用窺探鬆散網路、設備和位置標識符的幾種方式。

應用通常通過被稱為API的軟體掛鉤與安卓系統交互，讓該操作系統能夠管理它們的訪問許可權。「雖然安卓API受到許可權系統的保護，但文件系統往往不受保護，」加州大學伯克利分校國際計算機科學研究所可用安全和隱私小組的研究主管Serge Egelman說。「有些應用可以被拒絕訪問數據，但它們會在文件系統的不同部分找到這些數據。」

Egelman和他的同事Joel Reardon、Alvaro Feal、Primal Wijesekera、Amit Elazari Bar On和Narseo Vallina-Rodriguez在一篇名為《泄露數據的50種方式：應用規避安卓許可權系統的探索》的論文中概述了他們通過一系列測試發現的三類漏洞利用。

周四，Egelman解釋說，一個常見的目標是WiFi網路的硬編碼MAC地址，這是一個很好的位置數據代理。

研究人員在裝有儀器的安卓Marshmallow上運行應用（後來又在安卓Pie上運行）。對網路流量的深度數據包檢查發現，構建在OpenX軟體開發工具包等第三方庫上的應用一直在從系統緩存目錄中讀取MAC地址。其他應用利用系統調用或網路發現協議來更直接地獲取這些地址。

Egelman補充說，這些應用的工作原理常常讓研究人員很容易看出其中的欺騙性：「我們觀察到，有許多應用試圖通過安卓API正確地訪問數據，然後，如果做不到這一點，就試圖將數據從文件系統中刪除。」

獲取手機的IMEI（國際移動設備識別碼），即每個設備的唯一標識符，對於持久跟蹤來說甚至可以更有效。研究人員發現，Salmonads和百度的廣告庫會等待一個包含它們代碼的應用，以從用戶那裡獲得讀取手機IMEI的許可，然後將該標識符複製到手機SD卡上的一個文件中，其他基於這些庫的應用可以偷偷讀取該文件。

Egelman警告說：「這相當於大約有10億個應用使用了這項技術。」

最後，這個團隊觀察到照片共享應用Shutterfly通過讀取用戶保存在手機上的照片的地理標籤，將這些坐標傳輸到Shutterfly的伺服器，解決了缺乏位置數據許可的問題。Shutterfly對外聯絡部主任Sondra Harding周二通過一封電子郵件進行了回應，他說這個應用只會讀取經過用戶允許訪問的照片：「在用戶體驗中，有很多機會授予此許可權，包括選擇自動上傳、將本地照片拖放到產品創建路徑、應用設置等。」

周四公布的另一項研究——「Panoptispy：從安卓應用描述音頻和視頻過濾特徵」由東北大學的Elleen Pan與Jingjing Ren、Martina Lindorfer、Christo Wilson以及David Choffnes聯合發表。然而，這兩項研究並沒有報告有證據表明Facebook的應用在利用漏洞偷聽用戶的音頻。

儘管Facebook和其他公司都極力否認，但關於它們跟蹤用戶的說法仍不斷出現。而當前發布的安卓Pie會阻止應用在後台錄製音頻或視頻。

Egelman在演講結束時表示，谷歌向他的團隊支付了一筆漏洞賞金，表揚他們揭露了這些漏洞，並承諾在即將發布的Android Q中修復這些漏洞。他稱這種做法還不夠好，因為「絕大多數安卓用戶的設備都更老，也不會通過無線更新來修補這個漏洞。」

換句話說，用戶只能盡量遠離麻煩。在他的演講中，Egelman提供了一個選擇，用戶可以搜索研究結果的AppCensus資料庫。但是，他沒有提到另一個方法，即用戶堅持使用一家公司的手機網站，而不是安裝它的應用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！