新德里:您知道儘管拒絕了許可,您的智能手機應用仍可以訪問受限制的數據嗎?
根據國際計算機科學研究所(ICSI)2019年6月的一項研究,Play商店中有成千上萬的應用程序,即使未經許可也可以訪問受限數據。這些應用程序正在利用嵌入在應用程序中的通用SDK(軟體開發工具包)庫來與已被授予訪問相同數據許可權的另一個應用程序進行通信。這些第三方庫通常用於分析服務,社交網路集成和廣告。
無論是在Android還是iOS上,大多數應用都會從用戶使用電子郵件,電話號碼或社交媒體帳戶進行註冊的那一刻起收集用戶信息。應用程序開發人員可以使用這些數據來改善用戶體驗,或者通過與廣告商共享數據來獲利。
儘管有些人合法地這樣做,但他們會先制定自己的隱私政策並尋求用戶的應有許可,但仍有許多開發人員秘密地挖掘用戶從未允許他們訪問的信息。
卡巴斯基實驗室指出,用戶可以使用AppCensus和Exodus Privacy等服務來識別監視其的應用程序。前者使用動態分析來研究Android應用程序的行為,並可以使用戶了解他們正在收集哪些個人數據以及與誰共享這些數據。 Exodus Privacy通過直接研究應用程序並尋找內置跟蹤器,將其進一步發展。旨在收集有關用戶的信息,這些信息可用於向用戶顯示更多個性化的廣告。它還會更仔細地檢查應用程序許可權,以識別構成隱私和安全風險的應用程序。
卡巴斯基實驗室的研究人員使用這兩個應用程序來分析自拍相機應用程序,該應用程序在Play商店中的下載次數超過500萬。 Exodus Privacy發現該應用正在尋求訪問設備位置的許可。由於自拍應用允許訪問攝像機,這是可以理解的,但嚴格來說,訪問位置並不是操作攝像機所必需的。許多應用程序都這樣做是為了向照片EXIF(可交換圖像文件格式)添加地理標記。研究表明,這本身就是隱私風險。
AppCensus的分析表明,自拍相機沒有使用設備的位置對照片進行地理標記。而是將位置數據連同設備的16位IMEI編號,MAC地址(用於標識Internet或本地網路上的設備)和Android ID(分配給系統的代碼)一起發送到未加密的格式。卡巴斯基(Kaspersky)裁定,開發人員在其隱私政策中保證不會收集任何個人數據或與任何人共享設備位置詳細信息。