树欲静而风不止?研究表明近半数应用无视苹果的隐私政策

36氪  •  扫码分享

利用App获取用户私人识别信息是一种为定向投放广告的常见方式。2011年的时候苹果曾建议iOS开发者们停止用iPhoneiPad应用程序读取用户的识别信息。但是根据圣地亚哥加州大学(University of California, San Diego, UCSD)学者的一项研究显示,很多App无视了这个建议。

这星期在台湾举行的MobiSys会议上,UCSD的学者们将会把这些从9万台iPhone上22万5千个app里收集到的信息展示出来。他们的分析表明在2012年2月到12月这个区间内,48%的应用程序使用过所在iPhone的唯一识别码(unique device ID,UDID)。全文见此。

苹果的iOS系统通常不允许应用程序间互相监视,因此这些数据都来自于被越狱过的iPhone。越狱可以使iOS的正常限制失效,安装来自App Store以外的程序。但学者称他们的研究适用于所有iPhone用户,因为绝大多数越狱过的设备上都运行着正常的官方应用,这点与正常设备可谓并无二致。

这项研究的数据是通过一款叫做ProtectMyPrivacy的app采集的。在被安装后,ProtectMyPrivacy可以监控其他程序试图使用的数据类型。当某个app打算获取潜在的敏感信息时,ProtectMyPrivacy就会通知机主来做出是否同意该行为的决定。例如,用户可以选择禁止某个app获取联系人,地理信息或者UDID;用户也可以听从自动给出的建议。这项研究所使用的数据全部来自用户的自愿匿名分享。

虽然从5月1日开始,苹果官方就开始拒绝上架可获取UDID的应用程序,但这项政策的具体实施力度仍无从考证。UCSD项目的领导人之一Yuvraj Agarwal称,在受到监控的手机当中,大约有40%的app在继续尝试获取所在设备的UDID,即使很多程序在5月1日也就是新政策实施日之后进行过升级。这说明苹果要么是没抓到这些漏网之鱼,要么是选择了睁一只眼闭一只眼。

Agarwal和他的同事Malcolm Hall认为这是件让人“震惊”的事情,即使在苹果最新的iOS 6系统里这种行为也不见停止,“很多app仍然在记录UDID是因为官方系统允许他们这么做”。

移动安全公司Lookout的安全产品经理Jeremy Linden认为,即便开发者们遵从了苹果的官方指导,他们还是能找到其他方法来追踪用户。比如记录MAC地址,使得app可以在各广告平台和分析服务上跨界跟踪某个设备。

在今秋正式发布的iOS 7上,获取UDID的权限将被彻底取消。Linden称他觉得苹果在iOS 7上似乎还会采取其它阻止应用获取UDID的方法。“根据我的理解,他们正在取消所有能够获取设备唯一识别码的方式。对用户的隐私而言,这是非常棒的,这也为整个行业树立了一个榜样。”另外,苹果还开发了一个优化过的识别码,identifier for advertising (IDFA)。 IDFA在保护用户隐私的情况下提供“有限的广告跟踪”,而用户可随时改变IDFA的设置。

现在仅剩的一个问题就是,苹果相对封闭的生态系统使得Aagrwal这样的独立研究者很难详细地观测苹果设备上的应用程序到底在做些什么。事实上,很多研究移动设备和系统安全性的人都对Google的Android系统更有兴趣,在这个更开放更容易定制的系统上,非Google官方的软件商店也能获得认可,而进入官方应用商店也相对容易一些。Agarwal称,他曾向苹果的App Store提交过一个可以向用户展示ProtectMyPrivacy工作详情的应用程序,结果遭到了拒绝。当他和一个苹果员工讨论此事时,那名员工表示“我们不喜欢这个app的概念”。

VIA: technologyreview.com

本文被转载1次

首发媒体 36氪 | 转发媒体

随意打赏

提交建议
微信扫一扫,分享给好友吧。