UCSD:48% 的应用程序无视苹果的安全政策 199it中文互联网数据 | 中文互联网数据研究资讯中心

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

利用 App 获取用户私人识别信息是一种为定向投放广告的常见方式。2011 年的时候苹果曾建议 iOS 开发者们停止用 iPhoneiPad 应用程序读取用户的识别信息。但是根据圣地亚哥加州大学(University of California, San Diego, UCSD)学者的一项研究显示,很多 App 无视了这个建议。

这星期在台湾举行的 MobiSys 会议上,UCSD 的学者们将会把这些从 9 万台 iPhone 上 22 万 5 千个 app 里收集到的信息展示出来。他们的分析表明在 2012 年 2 月到 12 月这个区间内,48% 的应用程序使用过所在 iPhone 的唯一识别码(unique device ID,UDID)。 全文见此 。

苹果的 iOS 系统通常不允许应用程序间互相监视,因此这些数据都来自于被越狱过的 iPhone。越狱可以使 iOS 的正常限制失效,安装来自 App Store 以外的程序。但学者称他们的研究适用于所有 iPhone 用户,因为绝大多数越狱过的设备上都运行着正常的官方应用,这点与正常设备可谓并无二致。

这项研究的数据是通过一款叫做 ProtectMyPrivacy 的 app 采集的。在被安装后,ProtectMyPrivacy 可以监控其他程序试图使用的数据类型。当某个 app 打算获取潜在的敏感信息时,ProtectMyPrivacy 就会通知机主来做出是否同意该行为的决定。例如,用户可以选择禁止某个 app 获取联系人,地理信息或者 UDID;用户也可以听从自动给出的建议。这项研究所使用的数据全部来自用户的自愿匿名分享。

虽然从 5 月 1 日开始,苹果官方就开始 拒绝 上架可获取 UDID 的应用程序,但这项政策的具体实施力度仍无从考证。UCSD 项目的领导人之一 Yuvraj Agarwal 称,在受到监控的手机当中,大约有 40% 的 app 在继续尝试获取所在设备的 UDID,即使很多程序在 5 月 1 日也就是新政策实施日之后进行过升级。这说明苹果要么是没抓到这些漏网之鱼,要么是选择了睁一只眼闭一只眼。

Agarwal 和他的同事 Malcolm Hall 认为这是件让人“震惊”的事情,即使在苹果最新的 iOS 6 系统里这种行为也不见停止,“很多 app 仍然在记录 UDID 是因为官方系统允许他们这么做”。

移动安全公司 Lookout 的安全产品经理 Jeremy Linden 认为,即便开发者们遵从了苹果的官方指导,他们还是能找到其他方法来追踪用户。比如记录 MAC 地址,使得 app 可以在各广告平台和分析服务上跨界跟踪某个设备。

在今秋正式发布的 iOS 7 上,获取 UDID 的权限将被彻底取消。Linden 称他觉得苹果在 iOS 7 上似乎还会采取其它阻止应用获取 UDID 的方法。“根据我的理解,他们正在取消所有能够获取设备唯一识别码的方式。对用户的隐私而言,这是非常棒的,这也为整个行业树立了一个榜样。”另外,苹果还开发了一个优化过的识别码,identifier for advertising (IDFA)。 IDFA 在保护用户隐私的情况下提供“有限的广告跟踪”,而用户可随时改变 IDFA 的设置。

现在仅剩的一个问题就是,苹果相对封闭的生态系统使得 Aagrwal 这样的独立研究者很难详细地观测苹果设备上的应用程序到底在做些什么。事实上,很多研究移动设备和系统安全性的人都对 Google 的 Android 系统更有兴趣,在这个更开放更容易定制的系统上,非 Google 官方的软件商店也能获得认可,而进入官方应用商店也相对容易一些。Agarwal 称,他曾向苹果的 App Store 提交过一个可以向用户展示 ProtectMyPrivacy 工作详情的应用程序,结果遭到了拒绝。当他和一个苹果员工讨论此事时,那名员工表示“我们不喜欢这个 app 的概念”。

自:36kr

本文被转载1次

首发媒体 数据研究中心-互联网 | 转发媒体

随意打赏

提交建议
微信扫一扫,分享给好友吧。