主页(http://www.175shouji.com):刷新下限的Android流氓软件:即使拒绝权限申请,依旧收集你的隐
遗憾的是,在 Android Q 正式发布区之前,只能建议用户不要信任第三方应用程序,并关闭那些实际上并不需要第三方应用程序才能运行的应用程序的位置和 ID 权限设置。此外,卸载任何你不经常使用的应用程序。
这项研究调查了来自谷歌应用商店的 8.8 万多个 App,追踪了这些应用程序在被拒绝使用许可时数据是如何传输的,最终有超过 1300 多个 App 被抓。智能手机是敏感数据的金矿,而手机 App 就像挖掘机一样不断地从你的设备上收集每一个可能的信息。你以为你拒绝了,其实你没有。
Android Q 中最酷的特性之一,可能就是位置数据访问的新权限提示。下一个 Android 版本开始,用户可以让应用随时访问位置数据,也可以让应用只能在运行的时候访问到位置数据。
在今年 5 月的 Google I/O 大会上,谷歌发布了 Android Q Beta 4 以及最终版 API。谷歌在 Android Q 上强调了三大主题:创新、安全和隐私以及数字福利。谷歌希望在帮助用户充分利用最新技术(诸如 5G、可折叠屏幕、无边框屏幕、设备端机器学习等)的同时始终优先确保用户的安全、隐私和福祉。
从根本上说,消费者并没有多少工具和线索可以用来合理地控制自己的隐私,并据此做出决定。细想之下更令人担忧的是,这 1300 多个 App 是通过审核上架于谷歌应用商店的。而在谷歌全家桶无法使用的国内,各大手机厂商各自的应用商店本身就或多或少带有一些不可言说的私心或问题,类似的 App 又有多少呢?
限制剪贴板数据的访问
声明:本文来自于微信公众号InfoQ(ID:infoqchina),作者:望京一哥小智,授权站长之家转载发布。
Android 应用的授权问题一直争议不断:
1 你以为你拒绝了,其实你没有
Android Q 将删除可以提供设备网络状态状态信息的 /proc/net 函数,而其他的选择都是受权限保护的。这意味着“数据收割机”的免费午餐已经结束。
默认 MAC 地址会随机化
移除对网络数据的轻松访问
举例来说,你允许照相机访问地理位置数据,这是合理的;你拒绝一个应用访问地理位置数据,这也很正常。但你同时允许这个应用访问照相机,比如它的功能可能包括上传照片。那么它可以定期拍摄照片,读取照片上的位置信息,然后删除。利用这种旁路方法它就知道了你的各种隐私信息。
虽然这些授权请求非常无理,但按照 Android 的设计,你其实可以 Say No。比如手电筒应用如果想要访问通讯录或通话记录,你可以拒绝授予权取,通常并不影响你使用。但最近一项研究发现,即使你拒绝了授权申请,上千款 App 依旧可以收集你的各种信息。换句话说,“你以为你拒绝了,其实你没有”。
为什么拒绝授权申请,仍能被这上千款 App 绕过限制收集设备的精确的地理位置数据和电话标识符呢?研究人员发现,这些 App 利用旁路以及网络系统调用的方式,获取了这些用户信息。
在这 1300 多个 App 中,照片编辑 App Shutterfly 是其典型代表。其一直在从手机照片中收集 GPS 坐标,并将这些数据发送到自己的服务器上,即使用户拒绝允许该应用访问位置数据。除此之外,研究人员还发现了其他 13 个安装超过 1700 万次的 App 正在访问手机的 IMEI。
4 结语
Android Q 的正式发布日程目前并未确定,而国内各大本地化 Android ROM 对于 Android 最新系统的适配又总是落在后面,让人更加担忧。
上周四,在美国联邦贸易委员会 (Federal Trade Commission) 主办的 PrivacyCon 大会上,研究人员们做了一期名为《50 Ways to Pour Your Data》的演讲,在演讲中,他们概述了 1300 多个 Android 应用程序是如何收集用户的精确地理位置数据和手机标识符的,即使用户明确拒绝了所需的权限。
