最近公布的研究報告顯示，研究人員在對Google Play和蘋果APP Store上的110款應(yīng)用程序檢測中發(fā)現(xiàn)這些應(yīng)用程序大部分都會頻繁地把用戶的一些隱私信息提供給第三方，而且更為嚴重的是這種行為往往很少或根本沒有通知到用戶。

研究人員分別從兩大平臺選取了前55款最流行的應(yīng)用進行調(diào)查，絕大部分的應(yīng)用程序都會定期向谷歌，蘋果和其它第三方提供用戶的電子郵件地址、名稱和物理位置。平均而言，每個Android的應(yīng)用程序會向3.1個第三方域名發(fā)送潛在的敏感數(shù)據(jù)，而iOS的應(yīng)用程序的這個數(shù)字是2.6。在某些情況下，關(guān)于健康的應(yīng)用程序會在不通知用戶的情況下，向五個以上的第三方域名發(fā)送包括諸如“皰疹”和“干擾素”等搜索記錄。

“這項研究的結(jié)果指出，iOS和Android目前的權(quán)限系統(tǒng)并不能有效的告知用戶數(shù)據(jù)共享的情況，可控程度較差。Android和iOS的應(yīng)用程序目前并不需要用戶許可就可以將行為數(shù)據(jù)上傳給其他第三方域名。”

Android應(yīng)用程序發(fā)送的最普遍的個人信息是用戶的電子郵件地址，在此次抽樣調(diào)查中，73%的應(yīng)用都會發(fā)送這類數(shù)據(jù)。從整體來看，有49%的Android應(yīng)用會偷偷上傳用戶的姓名信息，33%會偷偷上傳用戶目前的GPS方位信息，25%會偷偷發(fā)送地址信息，還有24%會偷偷發(fā)送手機的IMEI碼或其他信息。一款來自Drug.com的應(yīng)用還將“皰疹”和“干擾素”等醫(yī)療詞匯的搜索記錄發(fā)送到包括doubleclick.net、googlesyndication.com、intellitxt.com、quantserve.com和scorecardresearch.com這五個域名上。雖然這五個域名不會收到其他的個人信息，但這并不能掩蓋其竊取用戶隱私的事實。

同樣值得關(guān)注的是，Android應(yīng)用還會向第三方發(fā)送一些潛在的敏感數(shù)據(jù)組合。例如，F(xiàn)acebook就會從調(diào)查中的55款應(yīng)用中的7款學(xué)術(shù)方面的應(yīng)用接收到用戶的姓名和位置信息，這七款分別是American Well、Groupon、Pinterest、RunKeeper、Tango、Text Free和Timeshop。情況相類似的還有Appboy.com，這一域名也會從Glide應(yīng)用接收到這種組合數(shù)據(jù)。

研究人員還注意到，在此次測試的55款A(yù)ndroid應(yīng)用中，有51款都會連接到Safemovedm.com這一域名。該域名連接的用途目的現(xiàn)在還沒有查明，但它竟然能夠覆蓋到這么多應(yīng)用之中著實令人感到很好奇。同時，即使是在我們沒有運行任何應(yīng)用的情況下，這一域名仍然被連接著。研究人員懷疑其可能是通過Android系統(tǒng)的后臺連接的。為了避免錯誤地將這個連接歸于測試的應(yīng)用之中，所以研究人員將它從表格數(shù)據(jù)中剔除。發(fā)送給Safemovedm.com的這一信息流表明，Android有可能能夠不通過HTTP端口，而通過其他未被發(fā)現(xiàn)的端口來上傳信息。

不過Google的發(fā)言人對此并未提供任何與safemovedm.com有關(guān)的信息，也沒有說明Android系統(tǒng)是如何連接到這一域名的。不過，直接通過網(wǎng)上搜索倒是找到了很多與“safemovedm.com是如何連接到Android設(shè)備”的相關(guān)理論，只不過都沒有確切的證據(jù)能夠證明。

我們再回過頭來看看iOS方面。iOS的應(yīng)用程序經(jīng)常會向第三方域名偷偷發(fā)送用戶的當前位置信息，55款應(yīng)用中有47%的應(yīng)用傳輸了這類的數(shù)據(jù)。從整體上來看，有18%的應(yīng)用程序偷偷發(fā)送用戶的姓名信息，有16%偷偷發(fā)送用戶的電子郵件地址信息。其中，名為Pinterest的應(yīng)用程序會將用戶的姓名偷偷發(fā)送到四個第三方域名，這四個域名分別是yoz.io、facebook.com、ctyrittercism.com和Flurry.com。

此次研究中的其他幾款應(yīng)用還會發(fā)送一些特殊的敏感信息。例如，追蹤月經(jīng)周期的名為Period Tracker Lite的應(yīng)用程序就會向第三方域名apsalar.com上偷偷發(fā)送“失眠”等搜索記錄相關(guān)信息，而由Indeed.com和Snagajob開發(fā)的求職應(yīng)用則會將“護士”和“汽車修理師”等求職相關(guān)的搜索內(nèi)容發(fā)送給四個第三方域名，這四個域名分別是27.net、healthcaresource.com、google-analytics.com和scorecardresearch.com。

研究人員對這一現(xiàn)狀給出的建議是，在應(yīng)用提出需要自己填寫個人信息時提供錯誤的數(shù)據(jù)，通過這種方式來保護自己的個人信息不被泄露。研究人員最后還表示，應(yīng)該有一個強有力的監(jiān)管系統(tǒng)來治理這一亂象，Google Play和蘋果APP Store等應(yīng)用商店也應(yīng)該明確標明應(yīng)用程序的這類行為，從而更好地告知到用戶。應(yīng)用程序自身也應(yīng)該加強自我管控力，重新設(shè)計語言，允許用戶退出這種不合理的數(shù)據(jù)收集機制。

Via arstechnica

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。