研究称上万款安卓应用违规收集用户信息 包括猎豹移动多款应用

文章正文
发布时间:2019-02-15 22:15

[摘要]谷歌表示,只有当Android应用程序将标识符发送到谷歌自己的广告网络(如AdMob)时,它才能执行自己的政策。如果应用程序将数据发送到外部网络,谷歌便无法监控它们的违规行为。

腾讯科技讯 据外媒报道,有些应用程序会随着时间的推移跟踪你的活动,即使你要求它们删除过往信息,而且你对此无能为力。

据国际计算机科学研究所(International Computer ScienceInstitute)向科技媒体CNet展示的一项研究显示,大约17000个Android应用程序会收集标识信息,创建你的设备活动的永久记录。研究人员说,这些数据收集似乎违反了谷歌关于收集数据的政策,在大多数情况下,这些数据可以用来针对用户进行广告宣传。

这些应用程序可以通过将广告ID(一个用于定制广告的独特但可重置的号码)与手机上其他难以更改或不可能更改的标识符相链接来跟踪你。这些标识符是设备的唯一签名:MAC地址、国际移动电话设备识别码(IMEI)和Android ID。只有不到三分之一收集标识符的应用会像谷歌建议的那样只使用广告ID。

这项研究的带头人塞尔日·埃格尔曼(Serge Egelman)说,当应用程序收集这些永久标识时,“隐私就消失了”。他说,他的团队在去年9月份向谷歌报告了这一发现,观察到大多数应用程序向广告服务发送识别信息,这明显违反了谷歌的政策。

该公司的政策允许开发人员收集标识符,但禁止它们在未经用户明确同意的情况下将广告ID与硬件ID相结合,或者禁止使用无法重置的标识符来定位广告。此外,谷歌的政策建议开发者只收集广告ID。

这种行为在科技行业拥有悠久的历史:虽然制定了隐私措施,但网站和应用程序开发人员很快就学会了绕过这些措施。例如,Adobe在2011年被迫解决Flash的cookie缓存问题,此前用户抱怨称,即使在清除了所有cookie后,Flash片段仍然会存在于浏览器中。2014年,对于运营商Verizon和AT&T使用所谓的“超级Cookie”也出现了类似的抱怨,这些所谓的“超级cookie”在多台设备上跟踪用户,且无法清除。2012年,微软指责谷歌规避其P3P网络隐私标准,该标准允许IE浏览器用户设置他们对cookie的偏好。(谷歌反驳说,这个标准当时已经不再有用)。

由于智能手机和平板电脑的激增,移动应用程序收集的数据引发了更广泛的审查。今年1月,Facebook和谷歌都被发现使用一种开发工具来规避苹果的隐私规则,并开发收集用户信息的iOS应用。2018年Facebook的剑桥分析(Cambridge Analytica)丑闻和其他隐私争议引发了对数据收集和使用方式的更严格审查。

埃格尔曼的团队此前曾发现约6000款儿童应用程序不当收集数据。该团队周四表示,许多面向成年人的大牌应用也在向广告服务部门发送永久标识。这些应用包括流行智能手机游戏《愤怒的小鸟经典版》,Audiobooks公司的Audiobooks,以及Flipboard。猎豹移动公司的清理大师、电池医生和猎豹输入法,也被发现向广告网络发送永久性信息。

所有这些应用程序都已安装在至少1亿台设备上。包含防病毒和电话优化功能的工具应用猎豹清理大师已安装在10亿台设备上。

谷歌的行动

谷歌表示,已经对埃格尔曼的报告进行了调查,并对一些应用程序采取了行动。该公司拒绝透露对多少应用程序采取了行动,也没有说明采取了什么行动,或者这些应用程序违反了哪些政策。该公司表示,其政策允许收集硬件标识符和Android ID,来用于欺诈检查等某些目的,但不允许用于定向广告。

谷歌还表示,只有当Android应用程序将标识符发送到谷歌自己的广告网络(如AdMob)时,它才能执行自己的政策。如果应用程序将数据发送到外部网络,谷歌便无法监控它们的违规行为。

谷歌发言人在一份声明中表示:“我们非常认真地对待这些问题。我们严禁将广告ID与设备标识符结合用于个性化广告。我们一直在审查应用程序——包括这份研究报告中列出的应用——并将在它们不符合我们的政策时采取行动。”

谷歌有许多旨在保护用户隐私和安全的举措。在周三的一篇博客文章中,该公司表示,2018年,它在谷歌Play商店屏蔽的违规应用数量增加了55%。

《愤怒的小鸟》开发商Rovio和Audible的代表没有回复记者的置评请求。

猎豹移动的一位发言人在电子邮件中表示,该公司的应用程序向一家公司发送设备的Android ID,以帮助该公司跟踪其产品的安装情况。这位发言人说,这些信息没有被用于定向广告,而且该公司遵守所有相关的谷歌政策和法律。

他补充说,研究人员测试的电池医生版本已经过时;猎豹移动公司在2018年更新了这款应用,不再收集IMEI。

Flipboard说,它不使用Android ID进行广告定位。

埃格尔曼团队发现的数据收集行为与2015年Uber在iOS上遇到的问题类似。据《纽约时报》当时报道,苹果首席执行官蒂姆·库克(Tim Cook)在得知Uber违反苹果的政策收集iOS用户的硬件标识符后十分愤怒,并威胁要从App Store中删除Uber应用。

埃格尔曼的团队在Android 6操作系统上测试了这些应用。根据谷歌去年10月份的一项分析,超过一半的安卓设备运行Android 6或更早版本的系统。

埃格尔曼说,改变广告ID应该能起到与清除你的网页浏览数据相同的作用。当你清除cookie时,你过去访问的网站将不会认出你。这样他们就不能随着时间的推移建立起关于你的数据了。

但是你不能重置其他标识符,如MAC地址和IMEI。这两个标识符有时可用于防止被盗电话访问蜂窝网络。Android ID是每个设备唯一的另一个标识符。它可以重置,但只有在你将设备恢复到出厂重置时才能重置。

如果应用程序向广告网络发送这些标识符中的任何一个,无论你多少次重置广告ID都无关紧要。他们还是能分辨出是你。

Saul Ewing Arnstein & Lehr律师事务所的隐私和网络安全律师桑迪·比勒斯(Sandy Bilus)表示,这些应用程序可能违反了欧盟最新的“通用数据保护条例”(General Data Protection Regulations),该条例要求公司向用户报告它们收集的数据。

“这肯定会引发GDPR问题,”比勒斯说。“收集和使用这些数据的应用开发商应该小心这一点。”

卡内基梅隆大学的洛里·费思·克拉诺(Lorrie Faith Cranor)表示,谷歌最有能力打击违规收集硬件标识符和Android ID的应用。

克拉诺说,应用开发商正在为广告ID创建变通方法,这表明许多人正在重新设置标识符,即使大多数用户不知道这种隐私功能。

“要不然,应用开发商为什么要费这个心呢?”她说。(腾讯科技审校/昔夏)

文章评论
—— 标签 ——
首页
评论
分享
Top