北京時(shí)間7月9日早間消息,國(guó)際計(jì)算機(jī)科學(xué)研究所(ICSI)的研究人員發(fā)現(xiàn),即使是在用戶(hù)明確拒絕授權(quán)之后,仍有多達(dá)1325個(gè)Android應(yīng)用能繞過(guò)限制,從用戶(hù)設(shè)備上收集精確的地理位置數(shù)據(jù)和手機(jī)序列號(hào)等信息。
這一研究結(jié)果凸顯了用戶(hù)想要保護(hù)自己的在線(xiàn)隱私是多么困難,特別是在連接到手機(jī)和移動(dòng)應(yīng)用時(shí)更是如此?萍脊緭碛谐蓛|人的海量個(gè)人數(shù)據(jù),包括他們?nèi)ミ^(guò)哪里、有哪些朋友以及有什么興趣愛(ài)好等。
立法者正試圖通過(guò)隱私法規(guī)來(lái)保護(hù)用戶(hù),而應(yīng)用許可則本應(yīng)控制用戶(hù)選擇放棄哪些數(shù)據(jù)。蘋(píng)果公司和谷歌已經(jīng)發(fā)布了新的功能來(lái)改善用戶(hù)隱私,但應(yīng)用卻在繼續(xù)尋找隱藏的方法來(lái)繞過(guò)這種保護(hù)。
在6月底,國(guó)際計(jì)算機(jī)科學(xué)研究所的可用安全和隱私研究主任塞爾日·埃格爾曼(Serge Egelman)在美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)的“隱私大會(huì)”(PrivacyCon)上介紹了這項(xiàng)研究。“從根本上說(shuō),消費(fèi)者幾乎沒(méi)有什么工具和線(xiàn)索可以用來(lái)合理地控制隱私,并就此做出決定!卑8駹柭跁(huì)議上說(shuō)道。“如果應(yīng)用開(kāi)發(fā)者可以直接繞過(guò)系統(tǒng),那么向消費(fèi)者請(qǐng)求許可就沒(méi)有意義了!
埃格爾曼表示,研究人員已在去年9月就這些問(wèn)題向谷歌和美國(guó)聯(lián)邦貿(mào)易委員會(huì)發(fā)出了通知。谷歌回應(yīng)稱(chēng),該公司將設(shè)法解決Android Q中的問(wèn)題,這個(gè)操作系統(tǒng)預(yù)計(jì)將于今年發(fā)布。
谷歌表示,此次更新將可解決上述問(wèn)題,具體方法是隱藏照片中的位置信息,令應(yīng)用無(wú)法獲;同時(shí)還將要求任何訪問(wèn)Wi-Fi的應(yīng)用必須向用戶(hù)發(fā)出請(qǐng)求,才能獲取位置相關(guān)數(shù)據(jù)。
這項(xiàng)研究觀察了來(lái)自Google Play商店的8.8萬(wàn)多個(gè)應(yīng)用,跟蹤了當(dāng)用戶(hù)拒絕向這些應(yīng)用給出權(quán)限時(shí),數(shù)據(jù)是如何進(jìn)行傳輸?shù)。研究人員發(fā)現(xiàn),照片編輯應(yīng)用Shutterfly一直都在從照片中收集GPS坐標(biāo),并將這些數(shù)據(jù)發(fā)送到自己的服務(wù)器,哪怕用戶(hù)拒絕授權(quán)該應(yīng)用訪問(wèn)其位置數(shù)據(jù)也無(wú)濟(jì)于事。Shutterfly發(fā)言人則表示,不管研究人員發(fā)現(xiàn)了什么,該公司只會(huì)在獲得明確許可的情況下才會(huì)收集位置數(shù)據(jù)。
Shutterfly發(fā)表聲明稱(chēng):“跟許多照片服務(wù)一樣,Shutterfly使用這種數(shù)據(jù)來(lái)增強(qiáng)用戶(hù)體驗(yàn),向其提供分類(lèi)和個(gè)性化產(chǎn)品建議等功能,所有這些都符合Shutterfly隱私政策以及Android開(kāi)發(fā)者協(xié)議!
有些應(yīng)用依靠其他被授權(quán)查看個(gè)人數(shù)據(jù)的應(yīng)用來(lái)收集IMEI碼等手機(jī)序列號(hào),這些應(yīng)用會(huì)讀取設(shè)備SD卡上不受保護(hù)的文件,并獲取他們本無(wú)權(quán)限訪問(wèn)的數(shù)據(jù)。研究人員稱(chēng),雖然只有大約13個(gè)應(yīng)用這樣做,但其安裝次數(shù)之和達(dá)到了1700萬(wàn)次以上,其中包括百度(NASDAQ:BIDU)的香港迪士尼樂(lè)園應(yīng)用等。
百度和迪士尼尚未就相關(guān)置評(píng)請(qǐng)求作出回應(yīng)。
研究人員發(fā)現(xiàn),有153個(gè)應(yīng)用具備這種能力,包括三星的健康和瀏覽器應(yīng)用,而共有5億多臺(tái)設(shè)備安裝了這些應(yīng)用。三星也并未回復(fù)相關(guān)置評(píng)請(qǐng)求。
其他應(yīng)用則通過(guò)連接到Wi-Fi網(wǎng)絡(luò)、并計(jì)算出路由器的MAC地址來(lái)收集位置數(shù)據(jù),其中包括被用作智能遙控器的應(yīng)用。
埃格爾曼稱(chēng),他將在8月Usenix Security安全大會(huì)上介紹這項(xiàng)研究,屆時(shí)將會(huì)公布研究人員發(fā)現(xiàn)的1325個(gè)應(yīng)用的詳細(xì)信息。