网站地图 | RSS订阅 老铁博客 - 上海SEO优化|上海网站建设|蜘蛛池出租|站群代搭建
你的位置:首页 » 网站建设 » 正文

成千上万的Android应用程序可以跟踪你的手机——即使你拒绝授权

2019-7-12 8:56:59 | 作者:老铁SEO | 0个评论 | 人浏览

  当你明确地告诉Android应用程序“不,你没有权限跟踪我的手机”时,你可能会认为它不会具备让它这么做的能力。但研究人员表示,成千上万的应用程序已经找到了欺骗Android权限系统的方法,它们会给你的设备的唯一标识符,足够的数据,从而潜在地暴露你的位置。

  即使你说“不”到一个应用程序时,要求允许看到那些个人识别的数据,这可能还不够:第二个应用程序权限你可以分享那些与其他一个或让他们在共享存储在另一个应用程序——可能甚至恶意,可以阅读它。这两个应用程序可能看起来没有关联,但是研究人员表示,因为它们是使用相同的软件开发工具包(SDK)构建的,所以可以访问这些数据,而且有证据表明SDK所有者正在接收这些数据。这就像一个孩子要甜点,父母中的一个说“不”,他们就去问另一个。

  根据在2019年PrivacyCon上发表的一项研究,我们谈论的是来自三星和迪士尼等公司的应用,它们的下载量已达数亿次。他们使用由中国搜索巨头百度和分析公司Salmonads广告开发的sdk,Salmonads广告可以先把数据存储在你的手机上,然后从一个应用程序传到另一个应用程序(以及他们的服务器)。研究人员发现,一些使用百度SDK的应用程序可能试图悄悄地获取这些数据供自己使用。

  除此之外,该团队还发现了一些侧通道漏洞,其中一些漏洞可以将网络芯片和路由器的唯一MAC地址、无线接入点及其SSID等发送回家。国际计算机科学研究所(ICSI)可用安全和隐私小组的研究主任Serge Egelman在PrivacyCon上发表了这项研究,他说:“这是一个非常著名的位置数据的替代品。”

  该研究还指出,照片应用Shutterfly在没有获得跟踪位置许可的情况下,将实际的GPS坐标发送回服务器——通过从照片的EXIF元数据中获取数据——尽管该公司在发给CNET的一份声明中否认它在没有获得许可的情况下收集了这些数据。

  研究人员称,Android Q的一些问题即将得到修复。他们说,去年9月他们就这些漏洞通知了谷歌。(他们指向这个官方的谷歌页面。)不过,这可能对目前许多无法获得Android Q更新的Android手机没有帮助。(截至今年5月,只有10.4%的安卓设备安装了最新的安卓P,超过60%的设备仍在运行运行了近三年的安卓N.)

  研究人员认为谷歌应该做的更多,可能会在安全更新中推出热修复程序,因为它不应该只是获得保护的新手机购买者。Egelman说:“谷歌公开宣称隐私不应该是奢侈品,但这很好地说明了这里正在发生的事情。”

  谷歌拒绝就具体漏洞置评,但它向the Verge证实,默认情况下,Android Q将向照片应用程序隐藏地理位置信息,并要求照片应用程序告知Play Store是否能够访问位置元数据。

  • 本文来自: 老铁博客,转载请保留出处!欢迎发表您的评论
  • 相关标签:android应用程序开  
  • 已有0位网友发表了一针见血的评论,你还等什么?

    必填

    选填

    记住我,下次回复时不用重新输入个人信息

    必填,不填不让过哦,嘻嘻。

    ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。