研究显示APP窃取用户数据日益猖獗,连搜索记录都不放过
最近公布的研究报告显示,研究人员在对Google Play和苹果APP Store上的110款应用程序检测中发现这些应用程序大部分都会频繁地把用户的一些隐私信息提供给第三方,而且更为严重的是这种行为往往很少或根本没有通知到用户。
研究人员分别从两大平台选取了前55款最流行的应用进行调查,绝大部分的应用程序都会定期向谷歌,苹果和其它第三方提供用户的电子邮件地址、名称和物理位置。平均而言,每个Android的应用程序会向3.1个第三方域名发送潜在的敏感数据,而iOS的应用程序的这个数字是2.6。在某些情况下,关于健康的应用程序会在不通知用户的情况下,向五个以上的第三方域名发送包括诸如“疱疹”和“干扰素”等搜索记录。
“这项研究的结果指出,iOS和Android目前的权限系统并不能有效的告知用户数据共享的情况,可控程度较差。Android和iOS的应用程序目前并不需要用户许可就可以将行为数据上传给其他第三方域名。”
Android应用程序发送的最普遍的个人信息是用户的电子邮件地址,在此次抽样调查中,73%的应用都会发送这类数据。从整体来看,有49%的Android应用会偷偷上传用户的姓名信息,33%会偷偷上传用户目前的GPS方位信息,25%会偷偷发送地址信息,还有24%会偷偷发送手机的IMEI码或其他信息。一款来自Drug.com的应用还将“疱疹”和“干扰素”等医疗词汇的搜索记录发送到包括doubleclick.net、googlesyndication.com、intellitxt.com、quantserve.com和scorecardresearch.com这五个域名上。虽然这五个域名不会收到其他的个人信息,但这并不能掩盖其窃取用户隐私的事实。
同样值得关注的是,Android应用还会向第三方发送一些潜在的敏感数据组合。例如, Facebook 就会从调查中的55款应用中的7款学术方面的应用接收到用户的姓名和位置信息,这七款分别是American Well、Groupon、Pinterest、RunKeeper、Tango、Text Free和Timeshop。情况相类似的还有Appboy.com,这一域名也会从Glide应用接收到这种组合数据。
研究人员还注意到,在此次测试的55款Android应用中,有51款都会连接到Safemovedm.com这一域名。该域名连接的用途目的现在还没有查明,但它竟然能够覆盖到这么多应用之中着实令人感到很好奇。同时,即使是在我们没有运行任何应用的情况下,这一域名仍然被连接着。研究人员怀疑其可能是通过Android系统的后台连接的。为了避免错误地将这个连接归于测试的应用之中,所以研究人员将它从表格数据中剔除。发送给Safemovedm.com的这一信息流表明,Android有可能能够不通过HTTP端口,而通过其他未被发现的端口来上传信息。
不过Google的发言人对此并未提供任何与safemovedm.com有关的信息,也没有说明Android系统是如何连接到这一域名的。不过,直接通过网上搜索倒是找到了很多与“safemovedm.com是如何连接到Android设备”的相关理论,只不过都没有确切的证据能够证明。
我们再回过头来看看iOS方面。iOS的应用程序经常会向第三方域名偷偷发送用户的当前位置信息,55款应用中有47%的应用传输了这类的数据。从整体上来看,有18%的应用程序偷偷发送用户的姓名信息,有16%偷偷发送用户的电子邮件地址信息。其中,名为Pinterest的应用程序会将用户的姓名偷偷发送到四个第三方域名,这四个域名分别是yoz.io、facebook.com、ctyrittercism.com和Flurry.com。
此次研究中的其他几款应用还会发送一些特殊的敏感信息。例如,追踪月经周期的名为Period Tracker Lite的应用程序就会向第三方域名apsalar.com上偷偷发送“失眠”等搜索记录相关信息,而由Indeed.com和Snagajob开发的求职应用则会将“护士”和“汽车修理师”等求职相关的搜索内容发送给四个第三方域名,这四个域名分别是27.net、healthcaresource.com、google-analytics.com和scorecardresearch.com。
研究人员对这一现状给出的建议是,在应用提出需要自己填写个人信息时提供错误的数据,通过这种方式来保护自己的个人信息不被泄露。研究人员最后还表示,应该有一个强有力的监管系统来治理这一乱象,Google Play和苹果APP Store等应用商店也应该明确标明应用程序的这类行为,从而更好地告知到用户。应用程序自身也应该加强自我管控力,重新设计语言,允许用户退出这种不合理的数据收集机制。
Via arstechnica