形同虛設！數千安卓應用程序在你拒絕訪問許可權後仍能收集個人數據

本文由騰訊數碼獨家發布

即使用戶明確表示不同意，這些應用程序也會收集位置等信息。谷歌說，在Android Q之前對於這個問題還不會有解決方案。

Android應用程序的許可權設置是用來為你的設備提供多少數據把關的。如果你不想應用程序能夠讀取你的通話記錄，你可以選擇拒絕拒絕訪問。但即使你說「不」，許多應用程序也能找到解決辦法:研究人員發現，有1000多個應用程序繞開了這些限制，允許它們在你背後收集精確的地理位置數據和手機標識符。

這一發現突顯出，在網上保持隱私是多麼困難，尤其是當你連上手機和移動應用程序時。科技公司擁有數百萬人的海量個人數據，包括他們去過哪裡、和誰交朋友、對什麼感興趣。

立法者們正試圖通過隱私監管將此問題納入其中，而應用程序仍然可以許可讀取你的數據。蘋果和谷歌已經發布了一些新功能來改善人們的隱私，但應用程序仍在尋找繞過這些保護的隱藏方式。

國際計算機科學研究所(International Computer Science Institute)的研究人員發現，多達1325個安卓應用程序正在從設備上收集數據，即使用戶明確拒絕了這些應用程序的使用許可。ICSI可用安全和隱私研究主管塞爾日?埃格爾曼(Serge Egelman)於6月底在美國聯邦貿易委員會(Federal Trade Commission)的隱私大會上提交了這項研究。

埃格爾曼在會議上說:「從根本上說，消費者沒有多少工具和線索可以用來合理地控制他們的隱私，並就此做出決定。如果應用程序開發者可以繞過這個系統，那麼向消費者徵求許可就相對沒有意義了。」

埃格爾曼說，研究人員去年9月就這些問題通知了谷歌和FTC。谷歌表示，它將在Android Q中解決這些問題，預計Android Q將於今年發布。

谷歌稱，此次更新將通過利用應用程序隱藏照片中的位置信息來解決這一問題，並要求任何接入Wi-Fi的應用程序也必須擁有獲取位置數據的許可權。

這項研究調查了來自谷歌Play store的8.8萬多個應用程序，追蹤了這些應用程序在被拒絕使用許可時數據是如何傳輸的。在1325個違反安卓許可權的應用程序中，使用了隱藏在代碼中的變通方法，可以從Wi-Fi連接和照片中存儲的元數據等來源獲取個人數據。

研究人員發現，照片編輯應用Shutterfly一直在從照片中收集GPS坐標，並將這些數據發送到自己的伺服器上，即使用戶拒絕允許該應用訪問位置數據。

從根本上說，消費者沒有多少工具和線索可以用來合理地控制自己的隱私，並據此做出決定。

Shutterfly的一位發言人說，儘管研究人員發現了一些問題，但該公司只會在獲得明確許可的情況下收集位置數據。

該公司在一份聲明中表示:「和許多照片服務一樣，Shutterfly利用這些數據來增強用戶體驗，提供分類和個性化產品建議等功能，所有這些都符合Shutterfly的隱私政策以及安卓開發者協議。」

一些應用程序依賴於其他獲得查看個人數據許可的應用程序，利用它們收集手機標識符(比如你的IMEI號碼)的許可權。這些應用程序會讀取設備SD卡上不受保護的文件，並獲取他們沒有許可權訪問的數據。所以，如果你讓其他應用程序訪問你的個人數據，而他們把這些數據存儲在SD卡的一個文件夾里，這些間諜應用程序就能獲取這些信息。

研究人員稱，雖然只有大約13個應用程序可以做到這一點，但它們的安裝次數超過了1700萬次。研究人員表示，這包括百度的香港迪士尼樂園應用。

百度和迪士尼均未回復置評請求。

研究人員發現，有153款應用具備這種功能，其中包括三星的Health和瀏覽器應用，這些應用安裝在超過5億部設備上。

三星沒有回復置評請求。

其他應用程序則通過連接Wi-Fi網路並計算出路由器的MAC地址來收集位置數據。他們在一些智能遙控器上發現了這個功能，而這些遙控器不需要你的位置信息。

Egelman說，他將在8月Usenix安全會議上公布研究人員發現的1325個應用程序的詳細信息。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！