研究稱多達1325個Android應用未經(jīng)許可收集用戶數(shù)據(jù)

北京時間7月9日早間消息，國際計算機科學研究所（ICSI）的研究人員發(fā)現(xiàn)，即使是在用戶明確拒絕授權之后，仍有多達1325個Android應用能繞過限制，從用戶設備上收集精確的地理位置數(shù)據(jù)和手機序列號等信息。

這一研究結果凸顯了用戶想要保護自己的在線隱私是多么困難，特別是在連接到手機和移動應用時更是如此�？萍脊�司擁有成億人的海量個人數(shù)據(jù)，包括他們?nèi)ミ^哪里、有哪些朋友以及有什么興趣愛好等。

立法者正試圖通過隱私法規(guī)來保護用戶，而應用許可則本應控制用戶選擇放棄哪些數(shù)據(jù)。蘋果公司和谷歌已經(jīng)發(fā)布了新的功能來改善用戶隱私，但應用卻在繼續(xù)尋找隱藏的方法來繞過這種保護。

在6月底，國際計算機科學研究所的可用安全和隱私研究主任塞爾日·埃格爾曼（Serge Egelman）在美國聯(lián)邦貿(mào)易委員會（FTC）的“隱私大會”（PrivacyCon）上介紹了這項研究。“從根本上說，消費者幾乎沒有什么工具和線索可以用來合理地控制隱私，并就此做出決定�！卑８駹柭�在會議上說道。“如果應用開發(fā)者可以直接繞過系統(tǒng)，那么向消費者請求許可就沒有意義了�！�

埃格爾曼表示，研究人員已在去年9月就這些問題向谷歌和美國聯(lián)邦貿(mào)易委員會發(fā)出了通知。谷歌回應稱，該公司將設法解決Android Q中的問題，這個操作系統(tǒng)預計將于今年發(fā)布。

谷歌表示，此次更新將可解決上述問題，具體方法是隱藏照片中的位置信息，令應用無法獲取；同時還將要求任何訪問Wi-Fi的應用必須向用戶發(fā)出請求，才能獲取位置相關數(shù)據(jù)。

這項研究觀察了來自Google Play商店的8.8萬多個應用，跟蹤了當用戶拒絕向這些應用給出權限時，數(shù)據(jù)是如何進行傳輸?shù)�。研究人員發(fā)現(xiàn)，照片編輯應用Shutterfly一直都在從照片中收集GPS坐標，并將這些數(shù)據(jù)發(fā)送到自己的服務器，哪怕用戶拒絕授權該應用訪問其位置數(shù)據(jù)也無濟于事。Shutterfly發(fā)言人則表示，不管研究人員發(fā)現(xiàn)了什么，該公司只會在獲得明確許可的情況下才會收集位置數(shù)據(jù)。

Shutterfly發(fā)表聲明稱：“跟許多照片服務一樣，Shutterfly使用這種數(shù)據(jù)來增強用戶體驗，向其提供分類和個性化產(chǎn)品建議等功能，所有這些都符合Shutterfly隱私政策以及Android開發(fā)者協(xié)議�！�

有些應用依靠其他被授權查看個人數(shù)據(jù)的應用來收集IMEI碼等手機序列號，這些應用會讀取設備SD卡上不受保護的文件，并獲取他們本無權限訪問的數(shù)據(jù)。研究人員稱，雖然只有大約13個應用這樣做，但其安裝次數(shù)之和達到了1700萬次以上，其中包括百度（NASDAQ:BIDU）的香港迪士尼樂園應用等。

百度和迪士尼尚未就相關置評請求作出回應。

研究人員發(fā)現(xiàn)，有153個應用具備這種能力，包括三星的健康和瀏覽器應用，而共有5億多臺設備安裝了這些應用。三星也并未回復相關置評請求。

其他應用則通過連接到Wi-Fi網(wǎng)絡、并計算出路由器的MAC地址來收集位置數(shù)據(jù)，其中包括被用作智能遙控器的應用。

埃格爾曼稱，他將在8月Usenix Security安全大會上介紹這項研究，屆時將會公布研究人員發(fā)現(xiàn)的1325個應用的詳細信息。