东方时讯网
这些应用程序规避了Android权限,旨在将个人数据保留在开发人员手中,研究人员发现,即使用户明确禁止收集数据,也有超过1,000个Android应用程序可以共享和接收个人信息。
该调查结果已经提交给与会者在PrivacyCon 2019,他们不只是专注于晦涩的应用程序。事实上,包括迪士尼和三星在内的大公司被发布用于发布蔑视用户期望的隐私约定的应用程序。
所有受影响的应用程序都有一个共同点 - 它们都运行在相同的软件开发工具包(SDK)上。这里提出的问题是由科技巨头百度在一家名为Salmonads的分析公司的帮助下完成的。
SDK是为开发人员提供的一组工具,可以使构建应用程序变得更加容易 - 就像一个基于项目的框架而不必从头开始编写代码。就好像所有的大众Polos,奥迪S3和福特福克斯都使用相同的轴 - 它们都是不同的,但共享相同的骨干。
让我们假设有两个应用程序:App 1和App 2.两者都基于相同的百度SDK,但用户已撤销App 1的权限以收集个人数据。但是,用户尚未撤销App 2的数据收集权限。因此,App 1仍然可以从App 2的集合中收集数据,因为它们都是在同一个SDK上构建的。
就实际收集的数据而言,这有点混乱。设备MAC地址是最普遍收集的数据形式,但也收集了路由器MAC地址和设备IMEI号。在一个特定情况下,还收集了GPS数据。
收集GPS数据的应用程序称为Shutterfly,并且在发布时已在Google Play商店下载超过138,000次。它使用来自用户图像的EXIF元数据收集GPS数据,并将其发送回自己的服务器,没有位置许可。
“虽然这个应用程序可能无意绕过许可系统,但这种技术可以被恶意行为者利用来获取对用户位置的访问权限,”研究中读到。“每当启用地理位置的用户拍摄新照片时,任何对照片库具有读取权限的应用程序都可以在拍摄照片时了解用户的精确位置。
“此外,它还允许从用户获得带有时间戳的历史地理位置修复,以后可用于推断有关该用户的敏感信息,”它补充说。
研究人员表示,在获取MAC地址信息的应用程序中,Android本身通过单独的权限保护访问设备和路由器MAC地址。无论如何,他们仍然观察到应用程序在没有权限的情况下访问地址。
这些应用程序使用C ++本机代码调用了许多无人看守的UNIX系统调用,从而可以访问带有旁通道的地址。这些方法被称为“欺骗性”,甚至可能误导最勤奋的用户。
联邦贸易委员会(FTC)对移动运营商和第三方图书馆进行了罚款,用于利用旁道和使用MAC地址推断用户的位置。
研究人员表示,对于目前处于测试阶段的Android Q的移动操作系统的下一版本,他们的研究结果中概述的一些问题将得到修复,但这可能不够好。
Android操作系统更新不是强制性的,据统计,许多用户在升级到最新版本时都不是很勤奋 - 例如,只有10.4%的Android用户使用最新的Android 9 Pie安装。