最近公布的研究報(bào)告顯示，研究人員在對(duì)Google Play和蘋(píng)果APP Store上的110款應(yīng)用程序檢測(cè)中發(fā)現(xiàn)這些應(yīng)用程序大部分都會(huì)頻繁地把用戶的一些隱私信息提供給第三方，而且更為嚴(yán)重的是這種行為往往很少或根本沒(méi)有通知到用戶。

研究人員分別從兩大平臺(tái)選取了前55款最流行的應(yīng)用進(jìn)行調(diào)查，絕大部分的應(yīng)用程序都會(huì)定期向谷歌，蘋(píng)果和其它第三方提供用戶的電子郵件地址、名稱和物理位置。平均而言，每個(gè)Android的應(yīng)用程序會(huì)向3.1個(gè)第三方域名發(fā)送潛在的敏感數(shù)據(jù)，而iOS的應(yīng)用程序的這個(gè)數(shù)字是2.6。在某些情況下，關(guān)于健康的應(yīng)用程序會(huì)在不通知用戶的情況下，向五個(gè)以上的第三方域名發(fā)送包括諸如“皰疹”和“干擾素”等搜索記錄。

“這項(xiàng)研究的結(jié)果指出，iOS和Android目前的權(quán)限系統(tǒng)并不能有效的告知用戶數(shù)據(jù)共享的情況，可控程度較差。Android和iOS的應(yīng)用程序目前并不需要用戶許可就可以將行為數(shù)據(jù)上傳給其他第三方域名。”

Android應(yīng)用程序發(fā)送的最普遍的個(gè)人信息是用戶的電子郵件地址，在此次抽樣調(diào)查中，73%的應(yīng)用都會(huì)發(fā)送這類數(shù)據(jù)。從整體來(lái)看，有49%的Android應(yīng)用會(huì)偷偷上傳用戶的姓名信息，33%會(huì)偷偷上傳用戶目前的GPS方位信息，25%會(huì)偷偷發(fā)送地址信息，還有24%會(huì)偷偷發(fā)送手機(jī)的IMEI碼或其他信息。一款來(lái)自Drug.com的應(yīng)用還將“皰疹”和“干擾素”等醫(yī)療詞匯的搜索記錄發(fā)送到包括doubleclick.net、googlesyndication.com、intellitxt.com、quantserve.com和scorecardresearch.com這五個(gè)域名上。雖然這五個(gè)域名不會(huì)收到其他的個(gè)人信息，但這并不能掩蓋其竊取用戶隱私的事實(shí)。

同樣值得關(guān)注的是，Android應(yīng)用還會(huì)向第三方發(fā)送一些潛在的敏感數(shù)據(jù)組合。例如，F(xiàn)acebook就會(huì)從調(diào)查中的55款應(yīng)用中的7款學(xué)術(shù)方面的應(yīng)用接收到用戶的姓名和位置信息，這七款分別是American Well、Groupon、Pinterest、RunKeeper、Tango、Text Free和Timeshop。情況相類似的還有Appboy.com，這一域名也會(huì)從Glide應(yīng)用接收到這種組合數(shù)據(jù)。

研究人員還注意到，在此次測(cè)試的55款A(yù)ndroid應(yīng)用中，有51款都會(huì)連接到Safemovedm.com這一域名。該域名連接的用途目的現(xiàn)在還沒(méi)有查明，但它竟然能夠覆蓋到這么多應(yīng)用之中著實(shí)令人感到很好奇。同時(shí)，即使是在我們沒(méi)有運(yùn)行任何應(yīng)用的情況下，這一域名仍然被連接著。研究人員懷疑其可能是通過(guò)Android系統(tǒng)的后臺(tái)連接的。為了避免錯(cuò)誤地將這個(gè)連接歸于測(cè)試的應(yīng)用之中，所以研究人員將它從表格數(shù)據(jù)中剔除。發(fā)送給Safemovedm.com的這一信息流表明，Android有可能能夠不通過(guò)HTTP端口，而通過(guò)其他未被發(fā)現(xiàn)的端口來(lái)上傳信息。

不過(guò)Google的發(fā)言人對(duì)此并未提供任何與safemovedm.com有關(guān)的信息，也沒(méi)有說(shuō)明Android系統(tǒng)是如何連接到這一域名的。不過(guò)，直接通過(guò)網(wǎng)上搜索倒是找到了很多與“safemovedm.com是如何連接到Android設(shè)備”的相關(guān)理論，只不過(guò)都沒(méi)有確切的證據(jù)能夠證明。

我們?cè)倩剡^(guò)頭來(lái)看看iOS方面。iOS的應(yīng)用程序經(jīng)常會(huì)向第三方域名偷偷發(fā)送用戶的當(dāng)前位置信息，55款應(yīng)用中有47%的應(yīng)用傳輸了這類的數(shù)據(jù)。從整體上來(lái)看，有18%的應(yīng)用程序偷偷發(fā)送用戶的姓名信息，有16%偷偷發(fā)送用戶的電子郵件地址信息。其中，名為Pinterest的應(yīng)用程序會(huì)將用戶的姓名偷偷發(fā)送到四個(gè)第三方域名，這四個(gè)域名分別是yoz.io、facebook.com、ctyrittercism.com和Flurry.com。

此次研究中的其他幾款應(yīng)用還會(huì)發(fā)送一些特殊的敏感信息。例如，追蹤月經(jīng)周期的名為Period Tracker Lite的應(yīng)用程序就會(huì)向第三方域名apsalar.com上偷偷發(fā)送“失眠”等搜索記錄相關(guān)信息，而由Indeed.com和Snagajob開(kāi)發(fā)的求職應(yīng)用則會(huì)將“護(hù)士”和“汽車修理師”等求職相關(guān)的搜索內(nèi)容發(fā)送給四個(gè)第三方域名，這四個(gè)域名分別是27.net、healthcaresource.com、google-analytics.com和scorecardresearch.com。

研究人員對(duì)這一現(xiàn)狀給出的建議是，在應(yīng)用提出需要自己填寫(xiě)個(gè)人信息時(shí)提供錯(cuò)誤的數(shù)據(jù)，通過(guò)這種方式來(lái)保護(hù)自己的個(gè)人信息不被泄露。研究人員最后還表示，應(yīng)該有一個(gè)強(qiáng)有力的監(jiān)管系統(tǒng)來(lái)治理這一亂象，Google Play和蘋(píng)果APP Store等應(yīng)用商店也應(yīng)該明確標(biāo)明應(yīng)用程序的這類行為，從而更好地告知到用戶。應(yīng)用程序自身也應(yīng)該加強(qiáng)自我管控力，重新設(shè)計(jì)語(yǔ)言，允許用戶退出這種不合理的數(shù)據(jù)收集機(jī)制。

Via arstechnica

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。