注意!安卓应用正在用这些方式“偷窥”你的数据

  • 时间:
  • 浏览:0
  • 来源:1分时时彩官网_1分时时彩网站_去哪玩1分时时彩

肯能没有 发现统统的诡计,你肯能会钦佩谷歌多年如一日的坚持。为了阻止安卓应用在未经用户许可的状态下扫描用户的数据,谷歌花了多年的时间努力应对,而应用的开发人员也老会 在寻找新的土办法 来继续跟踪用户。

在上周四由美国联邦贸易委员会主办的为期一天的PrivacyCon大会上,进行了一场演讲,概述了应用窥探松散网络、设备和位置标识符的几种土办法 。

应用通常通过被称为API的软件挂钩与安卓系统交互,让该操作系统才能管理它们的访问权限。“随便说说安卓API受到权限系统的保护,但文件系统往往不受保护,”加州大学伯克利分校国际计算机科学研究所可用安全和隐私小组的研究主管Serge Egelman说。“一些应用都才能被拒绝访问数据,但它们会在文件系统的不同累积找到那些数据。”

Egelman和他的同事Joel Reardon、Alvaro Feal、Primal Wijesekera、Amit Elazari Bar On和Narseo Vallina-Rodriguez在一篇名为《泄露数据的200种土办法 :应用规避安卓权限系统的探索》的论文中概述了我们 通过一系列测试发现的三类漏洞利用。

周四,Egelman解释说,三个 常见的目标是WiFi网络的硬编码MAC地址,这是三个 很好的位置数据代理。

研究人员在装有仪器的安卓Marshmallow上运行应用(时候 又在安卓Pie上运行)。对网络流量的深层数据包检查发现,构建在OpenX软件开发工具包等第三方库上的应用老会 在从系统缓存目录中读取MAC地址。一些应用利用系统调用或网络发现协议来更直接地获取那些地址。

Egelman补充说,那些应用的工作原理常常让研究人员很容易看出其中的欺骗性:“我们 观察到,有一些应用试图通过安卓API正确地访问数据,统统,肯能做才能了这人 些,就试图将数据从文件系统中删除。”

获取手机的IMEI(国际移动设备识别码),即每个设备的唯一标识符,对于持久跟踪来说甚至都才能更有效。研究人员发现,Salmonads和百度的广告库会在等待三个 含高它们代码的应用,以从用户那里获得读取手机IMEI的许可,统统将该标识符克隆好友到手机SD卡上的三个 文件中,一些基于那些库的应用都才能偷偷读取该文件。

Egelman警告说:“这大概大概有10亿个应用使用了这项技术。”

最后,这人 团队观察到照片共享应用Shutterfly通过读取用户保位于手机上的照片的地理标签,将那些坐标传输到Shutterfly的服务器,补救了不够位置数据许可的现象。Shutterfly对外联络部主任Sondra Harding周二通过一封电子邮件进行了公布 ,你说那些这人 应用只会读取经过用户允许访问的照片:“在用户体验中,有统统肯能授予此权限,包括取舍 自动上传、将本地照片拖装在产品创建路径、应用设置等。”

周四公布 的另一项研究——“Panoptispy:从安卓应用描述音频和视频过滤形状”由东北大学的Elleen Pan与Jingjing Ren、Martina Lindorfer、Christo Wilson以及David Choffnes联合发表。然而,这两项研究并没有 报告有证据表明Facebook的应用在利用漏洞偷听用户的音频。

尽管Facebook和一些公司都极力公布 ,但关于它们跟踪用户的说法仍不断老会 出现。而当前发布的安卓Pie会阻止应用在后台录制音频或视频。

Egelman在演讲开始英文英文时表示,谷歌向他的团队支付了一笔漏洞赏金,表扬我们 揭露了那些漏洞,并承诺在即将发布的Android Q中修复那些漏洞。他称这人 做法还不够好,肯能“绝大多数安卓用户的设备都更老,统统会通过无线更新来修补这人 漏洞。”

换句话说,用户才能了尽量远离麻烦。在他的演讲中,Egelman提供了三个 取舍 ,用户都才能搜索研究结果的AppCensus数据库。统统,他没有 提到统统土办法 ,即用户坚持使用一家公司的手机网站,而全部都是安装它的应用。