拒绝权限并不保险,这些应用会绕过 Android 系统去追踪你的信息

公司

07-09 15:39

你信任 Android 的权限管理吗?当一个 Android 应用无端向你寻求位置信息时,十有八九你会点下拒绝,并认为这样就可以阻止它获取到你的位置信息。

但事实并非如此,根据安全研究人员表示,已经有超过 1325 个应用会在你明确拒绝权限的情况下,通过绕过 Android 系统的方法,将你家中带有唯一标识的数据信息打包,以便追踪到你的位置。

▲ 图片来自:XDA

根据隐私大会 PrivacyCon 2019 上的一项研究部表明,当我们去研究三星或者迪士尼等这种下载达到数亿次的应用程序发现。他们使用的是由百度和另一家名为 Salmonads 的分析公司构建的 SDK。这个 SKD 允许机主的数据从一个应用程序发送到另一个应用(甚至还包括他们的服务器),然后存储在手机本地。研究人员发现,使用百度 SDK 的一些应用有可能会悄悄获取这些数据供自己使用。

另外,该团队还发现了许多其他的漏洞,其中一些漏洞可以允许你的网络芯片、路由器信息、无线接入点以及 SSID 等带有唯一 MAC 地址的信息被程序发送回去。国际计算机科学研究所(ICSI)的安全隐私小组研究主任 Serge Egelman 表示,「这种绕过系统权限的方法已经很常见,这是一种代替直接获取位置信息的好办法」。

研究还发现照片应用 Shutterfly 在未经许可的情况下通过收集照片的 EXIF 信息,并发送 GPS 坐标给服务器,随后该公司发表声明否认收集用户隐私数据。

根据研究人员的说法,在 Android Q 中有一些问题会得到修复,他们去年 9 月份就向 Google 通报了这个漏洞,然而这可能无法帮助到那些无法更新到 Android Q 的手机,因为截止到今年 5 月,只有 10.4% 的手机运行最新的 Android P,超过 60% 的手机甚至仍然在运行 Android N。

所以研究人员们认为 Google 应该更重视这些问题,并在安全更新中推出更新修复,而不是等到发布新的 Android 版本。

在今年的 Google I/O 大会上,「隐私安全」成为了一个非常高频出现的词,Google CEO Sundar Pichai 之后更是在《纽约时报》专栏撰文表示,隐私不应该成为一种奢侈品。虽然没有指名道姓,但 Pichai 的发声被认为是在暗怼一直高调打隐私牌的苹果。

从 Google I/O 大会上的展示可以看出,Google 正由大量主动收集个人数据转向归纳群体数据,再通过神经网络和深度学习,从而主动预测用户行为。比如说 Android Q 的智能输入功能,就是无数用户「集体训练」的成果。

尽管 Google 开始学习苹果大打隐私牌,但从 Android 这个烂摊子上看,他们还有很多要做的。

题图来源:Cnet

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中