研究人员发现,即使没有获得授权,也有超过一千个Android应用正在跟踪用户。在寻求数据时,可疑应用程序正在从其他应用程序中收集数据,从照片中获取元数据标签以及通话记录,而这些都没有得到设备所有者的明确许可。

来自的研究 国际计算机科学研究所 发现即使人们明确拒绝了它们的许可,仍有超过1300个Android应用正在从设备中收集数据。研究人员的发现由ICSI可用安全和隐私研究总监Serge Egelman在今年6月举行的联邦贸易委员会的PrivacyCon活动上发表。

“从根本上说,消费者几乎没有可用于合理控制其隐私并做出决定的工具和提示,” 埃格尔曼在会议上说。 “如果应用程序开发人员可以绕过该系统,那么向消费者征求许可就没有任何意义。”

只是请求许可怎么办?

Android手机可让用户在“设置/应用”中做出决定&notifications文件夹,设备上安装的各个应用程序可以访问哪些数据类型。用户可以打开或关闭每个应用程序的访问权限。

许多安全应用程序(例如, 适用于Android的Avira Antivirus。这些是Egelman所说的工具。
尽管某些应用在关闭访问权限时发出了可怕的警告,但人们至少可以相信,他们能够控制应用对其设备和私人数据的访问权限,至少直到该报告发布之前。现在很清楚–您声明的权限选择对于许多应用程序都无关紧要。

他们如何规避我的隐私选择?

1300个应用在其应用编码中使用了变通方法,从而使用户从WiFi连接和大多数数码照片中的元数据等各种来源中获取数据,从而违反了用户隐私选择。例如,照片编辑应用Shutterfly被捕获,从照片中收集GPS坐标并将其发送到公司服务器,即使用户拒绝提供该应用的位置数据,该费用随后被Shutterfly拒绝。

侵入式应用可以搭载在其他应用上

一些已识别的应用程序正在窃听其他应用程序收集的数据。由于有了编码调整,这些应用程序可以通过具有此功能和权限级别的其他应用程序读取SD卡上不受保护的文件,或通过其他应用程序收集电话详细信息(例如IMEI号码)。具有此功能的最著名的应用程序之一是百度的香港迪士尼乐园应用程序。三星的健康和浏览器应用程序也具有这种交叉引用功能。

您可以(希望)保护自己

基本的安全步骤是直接在Android中或通过防病毒应用程序检查您已为手机上的各种应用程序授予了哪些权限。在查看时,请检查以确保授予的权限与应用程序所需的权限一致。

如果许可看起来很奇怪–请将其关闭。但是,正如该研究表明的那样,一个应用程序被授予执行权限的权限可能会被另一应用程序拦截。

我们将找出应用泄漏数据的50种方式

避免用户权限的应用程序的完整列表将于8月由Egelman及其研究团队发布。  Usenixsecurity会议 在一篇名为“应用泄漏数据的50种方式”的论文中。

Android更新应解决此权限问题

预计将解决此隐私问题,并将在计划于今年晚些时候发布的Google Android Q更新中解决。鉴于Android系统零散的用于交付更新,因此此更新可能需要一段时间才能到达最终用户。

资源: //blog.avira.com/your-android-apps-may-collect-private-data-without-your-permission/