一项新的研究显示,即使用户未授权他们,许多Android应用程序也在检索个人数据。
Android改进了通知人们安装后所需的权限的方式。这是一个比以前更好的系统,但是事实证明,即使Android询问人们是否要授予某个应用程序一定的权限,也没关系。某些应用程序会从手机中提取相关数据,即使它们不能这样做。
隐私和个人数据的概念是当今世界上最重要的两个方面,令人担忧的是,这两个问题基本上被许多Android应用所忽略,特别是如果这项研究揭示的事实是对的。
不仅仅是一个孤立的事件
卡尔加里大学(University of Calgary)、卡洛斯三世马德里大学(University versidad Carlos III Madrid)和加州大学伯克利分校(U.C. Berkeley)的研究人员提出了一项名为“泄露数据的50种方式:探索应用程序绕过Android权限系统的做法”的研究,该研究显示,数千个应用程序一直在做一些非常可疑的事情。
此外,根据Adrian Colyer的报告,研究人员构建了Google Play抓取工具,该工具下载了88113个不同Android应用的252864版本。所有应用程序均在受控环境中运行,允许研究人员监视所有I/O(写入和读取)事件和网络流量。
最有趣的方面是,即使用户拒绝了访问,应用程序仍在提取诸如MAC地址,IMEI号和其他信息之类的数据。之所以可行,是因为它是通过应用运行的任何SDK来完成的。其中一些SDK包括Salmonads(大中华地区的第三方开发者辅助平台),百度的Maps SDK甚至OpenX SDK。
研究人员还计算出,百度的Maps SDK使用了26亿个应用程序安装,这意味着实际数字可能会更大。研究结论可能只是其中之一。
“我们在本文中记录的行为构成明显的侵犯隐私行为。从法律和政策的角度来看,这些做法可能被认为具有欺骗性或其他非法性。”
唯一的好消息是,已通知Google有关问题,并且许多问题已在Android 10中得到修复。不利的一面是,市场上的大部分产品都没有在Android 10上运行,而且在很长一段时间内也不会运行。