研究表明多达1325个Android应用程序未经许可收集用户数据

北京时间7月9日上午消息，国际计算机科学研究所（ICSI）的研究人员发现，即使用户明确拒绝授权，多达1,325个Android应用程序也可以绕过限制并从用户设备中收集。准确的地理位置数据和手机序列号等信息。

结果突出显示了用户保护其在线隐私的难度，特别是在连接到移动电话和移动应用时。技术公司为数亿人提供了大量的个人数据，包括他们曾经去过的地方，他们拥有什么样的朋友以及他们有什么兴趣。

立法者试图通过隐私法规保护用户，应用程序许可证应控制用户选择放弃的数据。 Apple和Google已发布新功能以改善用户隐私，但应用程序仍在寻找隐藏的方法来规避这种保护。

6月底，国际计算机科学研究所可用安全和隐私研究主任Serge Egelman在美国联邦贸易委员会（FTC）隐私会议（PrivacyCon）上介绍了这项研究。 “从根本上说，消费者很少有工具和线索可用于合理控制隐私并做出相关决定，”埃格曼在会议上说。 “如果应用程序开发人员可以直接绕过系统，那么请求消费者的许可是没有意义的。”

埃格曼表示，研究人员已于去年9月就这些问题向谷歌和美国联邦贸易委员会发出通知。谷歌回应称，该公司将尝试解决Android Q的问题，该问题预计将于今年发布。

谷歌表示，此更新将通过隐藏照片中的位置信息并使应用程序无法访问来解决上述问题。它还需要访问Wi-Fi的任何应用程序向用户发出请求以获取与位置相关的数据。

该研究调查了来自Google Play商店的88,000多个应用，并跟踪了当用户拒绝授予这些应用时数据的传输方式。研究人员发现，即使用户拒绝授权应用程序访问其位置数据，照片编辑应用程序Shutterfly也一直从照片中收集GPS坐标并将数据发送到他们的服务器。 Shutterfly的发言人表示，无论研究人员发现什么，该公司只会在明确许可的情况下收集位置数据。

Shutterfly在一份声明中说：“像许多照片服务一样，Shutterfly使用这些数据来增强用户体验，并提供分类和个性化产品推荐等功能，所有这些都符合Shutterfly隐私政策和Android开发者协议。” p>

某些应用程序依赖于有权查看个人数据的其他应用程序来收集电话序列号，例如IMEI码。这些应用程序读取设备SD卡上未受保护的文件，并获取他们无权访问的数据。研究人员表示，尽管只有大约13个应用程序已经这样做，但安装数量已超过1700万次，其中包括百度（NASDAQ: BIDU）香港迪士尼乐园的应用程序。

百度和迪士尼没有回应置评请求。

研究人员发现153个应用程序具有此功能，包括三星的健康和浏览器应用程序，并且安装了超过5亿个设备。三星也没有回复评论请求。

其他应用程序通过连接到Wi-Fi网络并计算路由器的MAC地址（包括用作智能遥控器的应用程序）来收集位置数据。

埃格曼表示，他将于8月份在Usenix安全保障会议上展示这项研究，届时将公布研究人员发现的1,325份申请的详细信息。