发布需求
即使你在一个应用程序要求允许查看个人识别数据的位置时说“不”,这可能还不够:第二个拥有你已批准权限的应用程序可以与另一个应用程序共享这些位置,或将它们保留在共享存储,其他应用程序 - 甚至可能是恶意应用程序 - 可以读取它。这两个应用程序可能没有相关性,但研究人员表示,由于它们是使用相同的软件开发工具包(SDK)构建的,所以可以访问这些数据,并且有证据表明SDK所有者正在接收它。这就像一个孩子想吃糖果被妈妈告知“不”,转头向爷爷奶奶要一样。
根据在PrivacyCon 2019上发表的一项研究,列举了来自三星和迪士尼等已下载数亿次的应用程序。它们使用同一家公司构建的SDK,可以将你的数据从一个应用程序传递到另一个应用程序(以及他们的服务器),最先将其存储在手机本地。
除此之外,该团队还发现了许多漏洞,其中一些漏洞可以将你的网络芯片和路由器、无线接入点、SSID等的唯一MAC地址发送回家。国际计算机科学研究所(ICSI)可用安全和隐私小组的研究主任塞尔格·埃格尔曼(Serge Egelman)在PrivacyCon上展示这项研究时表示,“现在它已经非常有名,因为它是位置数据的一个很好的替代品”。
该研究还指出,照片应用Shutterfly在没有获得跟踪位置许可的情况下,将实际的GPS坐标发送回服务器——通过从照片的EXIF元数据中获取数据——尽管该公司在发给CNET的一份声明中否认它在没有获得许可的情况下收集了这些数据。
研究人员称,Android Q的一些问题即将得到修复。他们说,去年9月就这些漏洞通知了谷歌。不过,这可能对目前许多无法获得Android Q更新的Android手机没有帮助。(截至今年5月,只有10.4%的安卓设备安装了最新的Android P,超过60%的设备仍在运行已有三年的Android N)
研究人员认为谷歌应该做的更多,可能会在安全更新中推出修复程序,因为它不应该只是保护购买新手机的消费者。Egelman说:“谷歌公开宣称隐私不应该是奢侈品,但现实情况却并不像它所声称的那样。”
谷歌拒绝就具体漏洞发表评论,但它向The Verge证实,Android Q默认会隐藏照片应用中的地理位置信息,并且需要照片应用告诉Play商店是否能够访问位置元数据。
