谷歌宣扬隐私不是奢侈品,然而上万Android应用程序跟踪手机位置

  • 日期:07-23
  • 点击:(1108)


REkcXMPHnySJBH

当您明确告诉Android应用程序时,“不,您无权跟踪我的手机”,您可能会认为它没有后续功能。但研究人员表示,数以千计的应用程序已经找到了将Android权限引入系统的方法,将设备的唯一标识符发送回本地,抓取足够的数据以显示您的位置。

即使您在应用程序要求查看个人身份识别数据时说“不”,这可能还不够:具有您批准权限的第二个应用程序可以与其他应用程序共享这些位置,或者将它们保存在共享存储,其他应用程序中 - 甚至潜在的恶意应用程序 - 可以读取它。这两个应用程序可能不相关,但研究人员表示,因为它们是使用相同的软件开发工具包(SDK)构建的,所以可以访问它们,并且有证据表明SDK所有者正在接收它。这就像一个孩子想要吃糖果并被母亲告知,“不,”转向他的祖父母。

根据PrivacyCon 2019发表的一项研究,已经从三星和迪士尼下载了数亿个应用程序。他们使用同一公司构建的SDK将您的数据从一个应用程序传递到另一个应用程序(及其服务器),首先将其存储在手机本地。

此外,该团队还发现了许多漏洞,其中一些漏洞可以发送您的网络芯片和路由器的唯一MAC地址,无线接入点,SSID等。国际计算机科学研究所(ICSI)的研究主任塞尔埃格尔曼(Serge Egelman)曾在PrivacyCon上展示这项研究,他说,“现在它已经很有名了,因为它是位置数据。一个很好的选择。”

该研究还指出,照片应用程序Shutterfly通过从照片的EXIF元数据中获取数据,将实际GPS坐标发送回服务器而无需获得跟踪位置权限,尽管该公司在发送给CNET的声明中拒绝未经许可收集数据。

研究人员表示,Android Q的一些问题即将得到解决。他们表示Google已于去年9月收到这些漏洞的通知。但是,对于许多没有Android Q更新的Android手机,这可能没有用。 (截至今年5月,只有10.4%的Android设备安装了最新的Android P,超过60%的设备仍在运行Android N三年)

研究人员认为谷歌应该采取更多措施并可能在安全更新中启动修复程序,因为它不应仅仅保护购买新手机的消费者。 Egelman说:“谷歌公开声称隐私不应该是奢侈品,但现实并不像它声称的那样。”

谷歌拒绝对特定漏洞发表评论,但它向The Verge证实,默认情况下Android Q会隐藏照片应用中的位置信息,并且需要照片应用告诉Play商店是否可以访问位置元数据。