即使拒绝,上千Android App仍旧收集你的隐私

2019 年 7 月 10 日

即使拒绝,上千Android App仍旧收集你的隐私


Android App的权限问题一直饱受诟病,许多人认为这也是其无法与iOS平台媲美的原因之一。日前研究人员发现,即便用户拒绝授权相关权限,上千款Android App仍旧可以收集相关信息。谷歌称在Android Q之前不会有解决方案。


你以为你拒绝了,其实你没有


Android 应用的授权问题一直争议不断:


“为什么手电筒要访问我的通讯录?”

“为什么一个P图软件要读取我的短信记录?”

“为什么导航软件要访问我的相册?”

……


虽然这些授权请求非常无理,但按照 Android 的设计,你其实可以 Say No。比如手电筒应用如果想要访问通讯录或通话记录,你可以拒绝授予权取,通常并不影响你使用。但最近一项研究发现,即使你拒绝了授权申请,上千款 App 依旧可以收集你的各种信息。换句话说,“你以为你拒绝了,其实你没有”。



这项研究凸显了保护个人隐私的困难程度,当你连上手机和 App 时,你的一切都无所遁形。科技公司们有着数以千万计的海量数据,你去过哪里、和谁交朋友、对什么感兴趣,都了解得一清二楚。


由信息泄露带来的一系列操作养活了一个规模庞大的灰色产业链。在今年的“315晚会”上,一条探针盒子 + 数据匹配 + 智能外呼机器人的灰色产业链遭到曝光。据报道,遭到曝光的智能外呼机器人一年可拨打骚扰电话 40 多亿个,探针盒子公司收集有全国 6 亿用户的各类信息,令人触目惊心。


这项研究调查了来自谷歌应用商店的 8.8 万多个 App,追踪了这些应用程序在被拒绝使用许可时数据是如何传输的,最终有超过 1300 多个 App 被抓。智能手机是敏感数据的金矿,而手机 App 就像挖掘机一样不断地从你的设备上收集每一个可能的信息。你以为你拒绝了,其实你没有。


怎么做到的?


上周四,在美国联邦贸易委员会(Federal Trade Commission)主办的 PrivacyCon 大会上,研究人员们做了一期名为《50 Ways to Pour Your Data》的演讲,在演讲中,他们概述了 1300 多个 Android 应用程序是如何收集用户的精确地理位置数据和手机标识符的,即使用户明确拒绝了所需的权限。


为什么拒绝授权申请,仍能被这上千款 App 绕过限制收集设备的精确的地理位置数据和电话标识符呢?研究人员发现,这些 App 利用旁路以及网络系统调用的方式,获取了这些用户信息。



举例来说,你允许照相机访问地理位置数据,这是合理的;你拒绝一个应用访问地理位置数据,这也很正常。但你同时允许这个应用访问照相机,比如它的功能可能包括上传照片。那么它可以定期拍摄照片,读取照片上的位置信息,然后删除。利用这种旁路方法它就知道了你的各种隐私信息。


在这 1300 多个 App 中,照片编辑应用 Shutterfly 是其典型代表。其一直在从手机照片中收集 GPS 坐标,并将这些数据发送到自己的服务器上,即使用户拒绝允许该应用访问位置数据。除此之外,研究人员还发现了其他 13 个安装超过 1700 万次的 App 正在访问手机的 IMEI。


从根本上说,消费者并没有多少工具和线索可以用来合理地控制自己的隐私,并据此做出决定。细想之下更令人担忧的是,这 1300 多个 App 是通过审核上架于谷歌应用商店的。而在谷歌全家桶无法使用的国内,各大手机厂商各自的应用商店本身就或多或少带有一些不可言说的私心或问题,类似的 App 又有多少呢?


谷歌:Android Q 将解决这个问题


去年 9 月,研究人员就向谷歌反馈了这个问题。谷歌向他的团队支付了一笔赏金,奖励他们负责任地披露问题。谷歌表示,它将在 Android Q 中解决这些问题,预计 Android Q 将于今年发布。


谷歌称,此次更新将通过向应用程序隐藏照片中的位置信息来解决这一问题,并要求任何接入 Wi-Fi 的应用程序也必须拥有获取位置数据的权限。


在今年 5 月的 Google I/O 大会上,谷歌发布了Android Q Beta 4以及最终版 API。谷歌在 Android Q 上强调了三大主题:创新、安全和隐私以及数字福利。谷歌希望在帮助用户充分利用最新技术(诸如 5G、可折叠屏幕、无边框屏幕、设备端机器学习等)的同时始终优先确保用户的安全、隐私和福祉。


Android Q 关于隐私的提升具体有以下几点:


  • 限制剪贴板数据的访问

  • 应用不在前台运行时,无法访问操作系统的剪贴板数据。但如果应用是默认的输入方法编辑器(IME,即默认的键盘应用),就可以在操作系统背景下访问到剪贴板数据。

  • 默认 MAC 地址会随机化

  • 谷歌在 Android 6.0 中采用了 MAC 地址随机化。但只有在智能手机启动后台 Wi-Fi 或蓝牙扫描的时候,设备才会播发随机的 MAC 地址。Android Q 设备将默认为所有通信发送随机的 MAC 地址。尽管安全研究人员表示在使用随机 MAC 地址的情况下,他们也可以跟踪设备。但该特性的支持,仍可以有效降低一些数据收集和用户跟踪操作的效率。

  • 移除对网络数据的轻松访问

  • Android Q 将删除可以提供设备网络状态状态信息的 /proc/net 函数,而其他的选择都是受权限保护的。这意味着“数据收割机”的免费午餐已经结束。

  • 移除对设备详细信息的轻松访问

  • 从 Android Q 开始,应用开发人员在访问设备 IMEI 和序列号之前,需要申请特殊许可。

  • 通讯数据不排名

  • 谷歌决定 Android Q 将停止追踪通讯录的联系频率。任何获得访问用户通讯录权限的应用,都只能获得没有排序过的通讯录。

  • 对位置数据的更多控制

  • Android Q 中最酷的特性之一,可能就是位置数据访问的新权限提示。下一个 Android 版本开始,用户可以让应用随时访问位置数据,也可以让应用只能在运行的时候访问到位置数据。


遗憾的是,在 Android Q 正式发布区之前,只能建议用户不要信任第三方应用程序,并关闭那些实际上并不需要第三方应用程序才能运行的应用程序的位置和 ID 权限设置。此外,卸载任何你不经常使用的应用程序。


Android Q 的正式发布日程目前并未确定,而国内各大本地化 Android ROM 对于 Android 最新系统的适配又总是落在后面,让人更加担忧。


结语


从行业的角度看,所有厂商都在尽一切可能地搜集用户信息。哪怕是标榜“你手机里的东西只会留在你的手机里”的苹果,也出现了诸多隐私的负面新闻(但 iOS 平台的隐私保护依旧无可匹敌)。


大数据时代,数据对商家变得越来越重要,但对数据的渴求和对用户的隐私保护之间的这个度,是值得商讨的。除了寄希望于移动操作平台如 Android、iOS 等加强管控,用户自己也更应该多关注自己的隐私保护问题,不要再被认定“中国人习惯于用隐私换便利”。也希望有关部门能加快对行业乱象的整治。


2019 年 7 月 10 日 16:413273
用户头像
小智 InfoQ 主编

发布了 395 篇内容, 共 306.9 次阅读, 收获喜欢 1709 次。

关注

评论

发布
暂无评论
发现更多内容

一文解决MySQL时区相关问题

Simon

MySQL 数据库

最详细的Java/后端学习路线

犬来八荒

选择排序

wjchenge

业务学习-美团闪购

第519区

2020年7月国产数据库排行:华为、腾讯发新品,中兴、阿里结硕果

墨天轮

数据库 阿里 排行榜

分布式缓存 - 第五周作业

孙志平

计算机操作系统基础(十)---存储管理之虚拟内存

书旅

php laravel 线程 操作系统 进程

数据产品经理的具象化

松子(李博源)

大数据 产品经理 数据产品

自由职业半年之后,我又滚回职场了...

王磊

程序员 程序员人生 程序人生

十分钟带你彻底搞懂原码、反码、补码

程序员生活志

补码 原码 反码

了不起的 Webpack 构建流程学习指南

pingan8787

Java 前端 Web webpack

不懂什么是高并发?看完这篇文章你可以去吊打面试官了

互联网架构师小马

高可用 高并发 高性能 高并发系统设计 多线程与高并发

了不起的 tsconfig.json 学习指南

pingan8787

typescript 前端 Web

Java开发连Redis都不会还想跳槽涨薪?先把Redis的知识点吃透再说

互联网架构师小马

数据库 redis 缓存 面试 找工作

​ “强大基座”再展能力,一朵“云”掀起国产化浪潮

Geek_116789

阿里大型企业级开发必用微服务:深入浅出SpringBoot2.x

小闫

spring jdk 后端 Java 面试 springboot

微服务网关演进之路

小楼

Java 微服务 dubbo 网关

架构师训练营 - 第五课作业 -20200708- 一致性HASH

👑👑merlan

极客大学架构师训练营 一致性哈希

数据集永久下架,微软不是第一个,MIT 也不是最后一个

神经星星

AI 计算机视觉 MIT AI 伦理 数据集

大数学家笛卡尔到底是怎么死的? |《隐秘的角落》

赵新龙

数学 隐秘的角落 笛卡尔

宅家复习一个月,成功入职腾讯,才知道算法实在太太太重要了

互联网架构师小马

程序员 腾讯 面试 算法 找工作

手把手教你看MySQL官方文档

Simon

MySQL

开篇词——你所不知道的神经网络攻防

P小二

神经网络 AIPwn 对抗样本 AI安全 P小二

谁没个焦虑的时段呢?

封不羁

个人成长 个人感想 程序员成长

公司短信平台上的两万块钱,瞬间就被刷没了

古时的风筝

短信防刷 接口安全 短信轰炸机

蟒周刊/427:机器狗已在公开发售,支持用 Python 对其编程...

ZoomQuiet大妈

Python 大妈 蟒营® 蟒周刊 101camp

2.3万个MongoDB数据库遭黑客比特币勒索,你中招了吗?中招怎么办?

墨天轮

比特币 数据库 oracle mongodb 黑客

理解Redis的内存回收机制和过期淘汰策略

老胡爱分享

redis LRU

第五周作业

武鹏

猿灯塔:最详细Dubbo相关面试题

猿灯塔

系统架构师week 04 - 互联网架构总结

尔东雨田

极客大学架构师训练营

即使拒绝,上千Android App仍旧收集你的隐私-InfoQ