信息化觀察網(wǎng)

當(dāng)你明確地告訴Android應(yīng)用程序時(shí)，“不，你沒(méi)有權(quán)限來(lái)追蹤我的手機(jī)”，你可能認(rèn)為它不具后續(xù)能力。但是研究人員表示，成千上萬(wàn)的應(yīng)用程序已經(jīng)找到了欺騙Android權(quán)限系統(tǒng)的方法，它們會(huì)將你設(shè)備的唯一標(biāo)識(shí)符發(fā)送回本地，抓取足夠多數(shù)據(jù)，以便潛在地揭示你的位置。

即使你在一個(gè)應(yīng)用程序要求允許查看個(gè)人識(shí)別數(shù)據(jù)的位置時(shí)說(shuō)“不”，這可能還不夠：第二個(gè)擁有你已批準(zhǔn)權(quán)限的應(yīng)用程序可以與另一個(gè)應(yīng)用程序共享這些位置，或?qū)⑺鼈儽Ａ粼诠蚕泶鎯?chǔ)，其他應(yīng)用程序 - 甚至可能是惡意應(yīng)用程序 - 可以讀取它。這兩個(gè)應(yīng)用程序可能沒(méi)有相關(guān)性，但研究人員表示，由于它們是使用相同的軟件開(kāi)發(fā)工具包(SDK)構(gòu)建的，所以可以訪問(wèn)這些數(shù)據(jù)，并且有證據(jù)表明SDK所有者正在接收它。這就像一個(gè)孩子想吃糖果被媽媽告知“不”，轉(zhuǎn)頭向爺爺奶奶要一樣。

根據(jù)在PrivacyCon 2019上發(fā)表的一項(xiàng)研究，列舉了來(lái)自三星和迪士尼等已下載數(shù)億次的應(yīng)用程序。它們使用同一家公司構(gòu)建的SDK，可以將你的數(shù)據(jù)從一個(gè)應(yīng)用程序傳遞到另一個(gè)應(yīng)用程序(以及他們的服務(wù)器)，最先將其存儲(chǔ)在手機(jī)本地。

除此之外，該團(tuán)隊(duì)還發(fā)現(xiàn)了許多漏洞，其中一些漏洞可以將你的網(wǎng)絡(luò)芯片和路由器、無(wú)線接入點(diǎn)、SSID等的唯一MAC地址發(fā)送回家。國(guó)際計(jì)算機(jī)科學(xué)研究所(ICSI)可用安全和隱私小組的研究主任塞爾格·埃格爾曼(Serge Egelman)在PrivacyCon上展示這項(xiàng)研究時(shí)表示，“現(xiàn)在它已經(jīng)非常有名，因?yàn)樗俏恢脭?shù)據(jù)的一個(gè)很好的替代品”。

該研究還指出，照片應(yīng)用Shutterfly在沒(méi)有獲得跟蹤位置許可的情況下，將實(shí)際的GPS坐標(biāo)發(fā)送回服務(wù)器——通過(guò)從照片的EXIF元數(shù)據(jù)中獲取數(shù)據(jù)——盡管該公司在發(fā)給CNET的一份聲明中否認(rèn)它在沒(méi)有獲得許可的情況下收集了這些數(shù)據(jù)。

研究人員稱，Android Q的一些問(wèn)題即將得到修復(fù)。他們說(shuō)，去年9月就這些漏洞通知了谷歌。不過(guò)，這可能對(duì)目前許多無(wú)法獲得Android Q更新的Android手機(jī)沒(méi)有幫助。(截至今年5月，只有10.4%的安卓設(shè)備安裝了最新的Android P，超過(guò)60%的設(shè)備仍在運(yùn)行已有三年的Android N)

研究人員認(rèn)為谷歌應(yīng)該做的更多，可能會(huì)在安全更新中推出修復(fù)程序，因?yàn)樗粦?yīng)該只是保護(hù)購(gòu)買新手機(jī)的消費(fèi)者。Egelman說(shuō):“谷歌公開(kāi)宣稱隱私不應(yīng)該是奢侈品，但現(xiàn)實(shí)情況卻并不像它所聲稱的那樣。”

谷歌拒絕就具體漏洞發(fā)表評(píng)論，但它向The Verge證實(shí)，Android Q默認(rèn)會(huì)隱藏照片應(yīng)用中的地理位置信息，并且需要照片應(yīng)用告訴Play商店是否能夠訪問(wèn)位置元數(shù)據(jù)。