如果没有发现这样的诡计,你可能会钦佩谷歌多年如一日的坚持。为了阻止安卓应用在未经用户许可的情况下扫描用户的数据,谷歌花了多年的时间努力应对,而应用的开发人员也一直在寻找新的方法来继续跟踪用户。
在上周四由美国联邦贸易委员会主办的为期一天的PrivacyCon大会上,进行了一场演讲,概述了应用窥探松散网络、设备和位置标识符的几种方式。
应用通常通过被称为API的软件挂钩与安卓系统交互,让该操作系统能够管理它们的访问权限。“虽然安卓API受到权限系统的保护,但文件系统往往不受保护,”加州大学伯克利分校国际计算机科学研究所可用安全和隐私小组的研究主管Serge Egelman说。“有些应用可以被拒绝访问数据,但它们会在文件系统的不同部分找到这些数据。”
Egelman和他的同事Joel Reardon、Alvaro Feal、Primal Wijesekera、Amit Elazari Bar On和Narseo Vallina-Rodriguez在一篇名为《泄露数据的50种方式:应用规避安卓权限系统的探索》的论文中概述了他们通过一系列测试发现的三类漏洞利用。
周四,Egelman解释说,一个常见的目标是WiFi网络的硬编码MAC地址,这是一个很好的位置数据代理。
研究人员在装有仪器的安卓Marshmallow上运行应用(后来又在安卓Pie上运行)。对网络流量的深度数据包检查发现,构建在OpenX软件开发工具包等第三方库上的应用一直在从系统缓存目录中读取MAC地址。其他应用利用系统调用或网络发现协议来更直接地获取这些地址。
Egelman补充说,这些应用的工作原理常常让研究人员很容易看出其中的欺骗性:“我们观察到,有许多应用试图通过安卓API正确地访问数据,然后,如果做不到这一点,就试图将数据从文件系统中删除。”
获取手机的IMEI(国际移动设备识别码),即每个设备的唯一标识符,对于持久跟踪来说甚至可以更有效。研究人员发现,Salmonads和百度的广告库会等待一个包含它们代码的应用,以从用户那里获得读取手机IMEI的许可,然后将该标识符复制到手机SD卡上的一个文件中,其他基于这些库的应用可以偷偷读取该文件。
Egelman警告说:“这相当于大约有10亿个应用使用了这项技术。”
最后,这个团队观察到照片共享应用Shutterfly通过读取用户保存在手机上的照片的地理标签,将这些坐标传输到Shutterfly的服务器,解决了缺乏位置数据许可的问题。Shutterfly对外联络部主任Sondra Harding周二通过一封电子邮件进行了回应,他说这个应用只会读取经过用户允许访问的照片:“在用户体验中,有很多机会授予此权限,包括选择自动上传、将本地照片拖放到产品创建路径、应用设置等。”
周四公布的另一项研究——“Panoptispy:从安卓应用描述音频和视频过滤特征”由东北大学的Elleen Pan与Jingjing Ren、Martina Lindorfer、Christo Wilson以及David Choffnes联合发表。然而,这两项研究并没有报告有证据表明Facebook的应用在利用漏洞偷听用户的音频。
尽管Facebook和其他公司都极力否认,但关于它们跟踪用户的说法仍不断出现。而当前发布的安卓Pie会阻止应用在后台录制音频或视频。
Egelman在演讲结束时表示,谷歌向他的团队支付了一笔漏洞赏金,表扬他们揭露了这些漏洞,并承诺在即将发布的Android Q中修复这些漏洞。他称这种做法还不够好,因为“绝大多数安卓用户的设备都更老,也不会通过无线更新来修补这个漏洞。”
换句话说,用户只能尽量远离麻烦。在他的演讲中,Egelman提供了一个选择,用户可以搜索研究结果的AppCensus数据库。但是,他没有提到另一个方法,即用户坚持使用一家公司的手机网站,而不是安装它的应用。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。