专栏名称: 科技美学官方
科技美学小号,一些被删除的文章,可以在这里找到
分享
今天看啥  ›  专栏  ›  公众号  ›  科技美学官方

不给权限也能收集数据,安卓难道是纸糊的吗?

科技美学官方  · 公众号  · 科技自媒体  · 2019-07-16 17:08

大家手机中安装的各类APP可以说是其灵魂所在,通过各类APP用户也得以实现各式各样的功能。但是出于获取更多利益的考量,这些APP的开发者往往会费尽心思的获取系统权限,以便收集用户数据。

日前,来自国际计算机研究所(International Computer Science Institute,ICSI)的报告显示,在研究人员针对Google Play商店中超过8.8万个APP的调查中发现,多达1325个Android应用程序正在从用户的设备上收集数据,即便在安装时已经明确拒绝了其相关权限的申请。

什么!Android的权限管理居然形同虚设,难道谷歌是在哄全世界消费者玩吗?还真不是,就如我们此前介绍过的那样,Android权限管理遵循的是“最小特权原则”,即APP应该只具备执行其任务所需的最低能力。

因此APP如果想访问其他文件、数据,以及相关资源,就必须在Android的Manifest.xml文件中进行声明。谷歌在Android开发者页面中也规定了APP开发中存在的四种系统权限——正常权限、危险权限、签名权限,和系统签名权限。

正常权限即不会对用户隐私或设备造成很大风险的权限,需要用户明确授权的危险权限则全部归属于权限组,签名权限只对拥有相同签名的应用开放,而系统签名权限则主要应用在预制应用上。因此开发者必须事先声明APP所需的权限,不然将无法调用相应的系统资源,因此如果用户拒绝给予这些权限,正常情况下APP也不能获得对应的系统资源。

尽管通常情况确实不能,但Android是一个庞大而臃肿的生态系统,自然就会存在某些不正常的现象,比如说利用签名权限构建一个“秘密通道”。ICSI的研究人员在报告中指出,假设A应用获得了IMEI权限,但是B应用却被拒绝,因此在通过签名权限机制的情况下,A应用将能够合法的将IMEI数据传输给B应用。

这个秘密通道有很多构建方式,目前这项1325个APP之中使用比较频繁的是“shared storage(共享存储)”或者共享内存机制。既然是“共享”,那不就是你的就是我的,我的就是你的吗?某些APP因此就可以通过“曲线救国”的方式收集到包括网络芯片型号、MAC地址、SSID、IMEI号码等敏感信息。

还有的则是类似照片编辑应用Shutterfly这种监守自盗的方式,作为一款照片编辑应用,Shutterfly在用户拒绝该应用访问位置数据的情况下,依然能够从照片中收集EXIF信息,将其中的GPS坐标发送到服务器上。这种方式确实完美规避了谷歌的权限管理,但同样能收集用户的数据信息,显然也是防不胜防。

无独有偶,在今年《华盛顿邮报》进行的一项实验中,在将iPhone连接一个监控软件,随后竟然在其中发现了近5400个追踪程序。这些追踪程序可以利用苹果的“后台刷新功能”,从手机向Demdex等第三方数据分析公司发送相关的用户数据。

对于开发者来了说,出门做生意可不是开善堂的,在普通用户技术水平上无法对抗的情况下,就只有依赖于平台与监管机构的努力了。但可惜谷歌的反应是迟缓和无力,ICSI的研究人员表示,需要等待即将到来的Android Q才会有一些问题得到修复,而不是每月的例行安全补丁更新,也就是说大量被OEM厂商和谷歌忽视的老机型,将会永远暴露在这类隐私风险下。

好在随着今年春天,中央网信办、工信部、公安部、市场监管总局等多部门联合开展的APP违法违规收集使用个人信息安全评估,并出台了《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》,将专项治理App强制授权、过度索权、超范围收集个人信息等问题。也就说未来在国内市场,APP在索取权限方面将有了法律法规的监管。

【本文图片来自网络】


推荐阅读



今天看啥 -
本文地址:http://www.jintiankansha.me/t/XpvKQpqe5U