XDA智能手机网 - 第一智能手机评述媒体
观点您的位置:首页 >观点 >

多达1325个Android应用未经许可即可访问您的位置数据和其他信息

发布时间:2019-07-09 15:39:53 来源:

您可能认为,在首次使用应用时,不会向应用授予某些权限,从而使您的个人数据保密。然而,研究发现(通过CNET)超过1,000个Android应用程序找到了绕过拒绝权限的方法,允许他们访问位置数据和其他个人用户信息。国际计算机科学研究所(ICSI)表示,它在GooglePlay商店中发现了多达1,325个应用程序,这些应用程序从拒绝许可的用户那里收集了这些数据。该研究报告于上个月由联邦贸易委员会(FTC)主办的PrivacyCon上发布。

该研究调查了88,000个Android应用程序,并研究了在权限被拒绝时他们如何处理数据。该研究发现,多达1,325个应用程序编写了代码,用于从存储在照片和Wi-Fi连接中的元数据中获取位置数据。ICSI可用安全和隐私研究主管Serge Egelman在会议上介绍了这些数据,并表示谷歌去年9月已收到通知。该公司表示将通过发布Android Q来解决这个问题,预计将在本季度晚些时候发布。Google会隐藏应用中照片中的位置信息。它还需要使用Wi-Fi的应用程序才能获得接收位置数据的权限。

“从根本上说,消费者很少有工具和线索,他们可以用来合理地控制他们的隐私并做出决定。如果应用程序开发人员可以绕过系统,那么向消费者寻求许可是相对毫无意义的。” - Serge Egelman,可用的安全和隐私研究,ICSI

其他应用程序从已获得获取许可的其他应用程序中获取个人信息。应用程序拒绝权限访问SD卡上未受保护的文件中的个人信息,其中该应用程序被另一个被授予收集权限的应用程序存储。虽然该报告称只有13款Android应用程序使用此技术窃取个人数据,但这些应用程序的安装次数超过1700万次,其中包括百度的香港迪士尼乐园应用程序。153个应用程序能够做到这一点,包括三星的健康和浏览器应用程序,它们安装在超过5亿台设备上。使用此方法可以窃取的个人数据包括手机唯一的IMEI号码。其他应用程序连接到用户的Wi-Fi网络以窃取位置数据。这些应用程序获取可识别Wi-Fi设备中的网络适配器的MAC号。

窃取个人数据的1,325个Android应用程序的名称将在下个月公布

作为现实生活中如何使用这些变通方法的一个例子,该报告指出,图像发布应用程序Shutterfly从照片中获取GPS坐标并将该数据发送到其服务器,即使用户未授予应用程序获取其位置数据的许可。该应用程序的发言人否认了这一说法并表示只有在用户允许的情况下才会收集位置数据。

“像许多照片服务一样,Shutterfly使用这些数据来增强用户体验,例如分类和个性化产品建议,所有这些都符合Shutterfly的隐私政策以及Android开发者协议。” - Shutterfly

Egelman说,他将透露未经许可收集个人数据的1,325个Android应用程序的名称。这将在下个月再次提交报告时发生,这次是在Usenix安全会议上。

你可能还记得,在5月份,华尔街日报发现在苹果App Store中以“我们喜欢的应用程序”为标题列出的80个应用程序中,有79个包含第三方跟踪器,用于收集iOS用户的广告个人数据,分析和营销目的。该组中的平均应用程序安装了四个跟踪器。

热点推荐
随机文章