0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

饱受诟病的Android 应用权限问题

5RJg_mcuworld 来源:YXQ 2019-07-31 16:19 次阅读

Android App 的权限问题一直饱受诟病,许多人认为这也是其无法与 iOS 平台媲美的原因之一。日前研究人员发现,即便用户拒绝授权相关权限,上千款 Android App 仍旧可以收集相关信息。谷歌称在 Android Q 之前不会有解决方案。1你以为你拒绝了,其实你没有

Android 应用的授权问题一直争议不断:

“为什么手电筒要访问我的通讯录?”

“为什么一个 P 图软件要读取我的短信记录?”

“为什么导航软件要访问我的相册?”

……

虽然这些授权请求非常无理,但按照 Android 的设计,你其实可以 Say No。比如手电筒应用如果想要访问通讯录或通话记录,你可以拒绝授予权取,通常并不影响你使用。但最近一项研究发现,即使你拒绝了授权申请,上千款 App 依旧可以收集你的各种信息。换句话说,“你以为你拒绝了,其实你没有”。

这项研究凸显了保护个人隐私的困难程度,当你连上手机和 App 时,你的一切都无所遁形。科技公司们有着数以千万计的海量数据,你去过哪里、和谁交朋友、对什么感兴趣,都了解得一清二楚。

由信息泄露带来的一系列操作养活了一个规模庞大的灰色产业链。在今年的“315 晚会”上,一条探针盒子 + 数据匹配 + 智能外呼机器人的灰色产业链遭到曝光。据报道,遭到曝光的智能外呼机器人一年可拨打骚扰电话 40 多亿个,探针盒子公司收集有全国 6 亿用户的各类信息,令人触目惊心。

这项研究调查了来自谷歌应用商店的 8.8 万多个 App,追踪了这些应用程序在被拒绝使用许可时数据是如何传输的,最终有超过 1300 多个 App 被抓。智能手机是敏感数据的金矿,而手机 App 就像挖掘机一样不断地从你的设备上收集每一个可能的信息。你以为你拒绝了,其实你没有。

2怎么做到的?

上周四,在美国联邦贸易委员会 (Federal Trade Commission) 主办的 PrivacyCon 大会上,研究人员们做了一期名为《50 Ways to Pour Your Data》的演讲,在演讲中,他们概述了 1300 多个 Android 应用程序是如何收集用户的精确地理位置数据和手机标识符的,即使用户明确拒绝了所需的权限。

为什么拒绝授权申请,仍能被这上千款 App 绕过限制收集设备的精确的地理位置数据和电话标识符呢?研究人员发现,这些 App 利用旁路以及网络系统调用的方式,获取了这些用户信息。

举例来说,你允许照相机访问地理位置数据,这是合理的;你拒绝一个应用访问地理位置数据,这也很正常。但你同时允许这个应用访问照相机,比如它的功能可能包括上传照片。那么它可以定期拍摄照片,读取照片上的位置信息,然后删除。利用这种旁路方法它就知道了你的各种隐私信息。

在这 1300 多个 App 中,照片编辑 App Shutterfly 是其典型代表。其一直在从手机照片中收集 GPS 坐标,并将这些数据发送到自己的服务器上,即使用户拒绝允许该应用访问位置数据。除此之外,研究人员还发现了其他 13 个安装超过 1700 万次的 App 正在访问手机的 IMEI。

从根本上说,消费者并没有多少工具和线索可以用来合理地控制自己的隐私,并据此做出决定。细想之下更令人担忧的是,这 1300 多个 App 是通过审核上架于谷歌应用商店的。而在谷歌全家桶无法使用的国内,各大手机厂商各自的应用商店本身就或多或少带有一些不可言说的私心或问题,类似的 App 又有多少呢?

3谷歌:Android Q 将解决这个问题

去年 9 月,研究人员就向谷歌反馈了这个问题。谷歌向他的团队支付了一笔赏金,奖励他们负责任地披露问题。谷歌表示,它将在 Android Q 中解决这些问题,预计 Android Q 将于今年发布。

谷歌称,此次更新将通过向应用程序隐藏照片中的位置信息来解决这一问题,并要求任何接入 Wi-Fi 的应用程序也必须拥有获取位置数据的权限。

在今年 5 月的 Google I/O 大会上,谷歌发布了 Android Q Beta 4 以及最终版 API。谷歌在 Android Q 上强调了三大主题:创新、安全和隐私以及数字福利。谷歌希望在帮助用户充分利用最新技术(诸如 5G、可折叠屏幕、无边框屏幕、设备端机器学习等)的同时始终优先确保用户的安全、隐私和福祉。

Android Q 关于隐私的提升具体有以下几点:

限制剪贴板数据的访问

应用不在前台运行时,无法访问操作系统的剪贴板数据。但如果应用是默认的输入方法编辑器(IME,即默认的键盘应用),就可以在操作系统背景下访问到剪贴板数据。

默认 MAC 地址会随机化

谷歌在 Android 6.0 中采用了 MAC 地址随机化。但只有在智能手机启动后台 Wi-Fi 或蓝牙扫描的时候,设备才会播发随机的 MAC 地址。Android Q 设备将默认为所有通信发送随机的 MAC 地址。尽管安全研究人员表示在使用随机 MAC 地址的情况下,他们也可以跟踪设备。但该特性的支持,仍可以有效降低一些数据收集和用户跟踪操作的效率。

移除对网络数据的轻松访问

Android Q 将删除可以提供设备网络状态状态信息的 /proc/net 函数,而其他的选择都是受权限保护的。这意味着“数据收割机”的免费午餐已经结束。

移除对设备详细信息的轻松访问

从 Android Q 开始,应用开发人员在访问设备 IMEI 和序列号之前,需要申请特殊许可。

通讯数据不排名

谷歌决定 Android Q 将停止追踪通讯录的联系频率。任何获得访问用户通讯录权限的应用,都只能获得没有排序过的通讯录。

对位置数据的更多控制

Android Q 中最酷的特性之一,可能就是位置数据访问的新权限提示。下一个 Android 版本开始,用户可以让应用随时访问位置数据,也可以让应用只能在运行的时候访问到位置数据。

遗憾的是,在 Android Q 正式发布区之前,只能建议用户不要信任第三方应用程序,并关闭那些实际上并不需要第三方应用程序才能运行的应用程序的位置和 ID 权限设置。此外,卸载任何你不经常使用的应用程序。

Android Q 的正式发布日程目前并未确定,而国内各大本地化 Android ROM 对于 Android 最新系统的适配又总是落在后面,让人更加担忧。

4结语

从行业的角度看,所有厂商都在尽一切可能地搜集用户信息。哪怕是标榜“你手机里的东西只会留在你的手机里”的苹果,也出现了诸多隐私的负面新闻(但 iOS 平台的隐私保护依旧无可匹敌)。

大数据时代,数据对商家变得越来越重要,但对数据的渴求和对用户的隐私保护之间的这个度,是值得商讨的。除了寄希望于移动操作平台如 Android、iOS 等加强管控,用户自己也更应该多关注自己的隐私保护问题,不要再被认定“中国人习惯于用隐私换便利”。也希望有关部门能加快对行业乱象的整治。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Android
    +关注

    关注

    12

    文章

    3923

    浏览量

    127127
  • 应用程序
    +关注

    关注

    37

    文章

    3240

    浏览量

    57600

原文标题:刷新下限的Android流氓软件:即使拒绝权限申请,依旧收集你的隐私

文章出处:【微信号:mcuworld,微信公众号:嵌入式资讯精选】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    搞懂Linux权限管理,提升系统安全性与稳定性

    目录 权限管理 4.1 linux安全上下文 4.2 特殊权限 2.1 修改权限的命令chmod 2.2 修改文件属主和属组的命令chown 1.权限简介 2.
    的头像 发表于 11-22 10:31 74次阅读
    搞懂Linux<b class='flag-5'>权限</b>管理,提升系统安全性与稳定性

    华纳云:设置RBAC权限的方法

    设置 RBAC(基于角色的访问控制) 权限通常涉及以下几个步骤: 1. 定义角色:    确定组织中不同的角色,这些角色应该反映组织结构和工作职责。例如,管理员、用户、审计员、经理等。 2. 分配权限
    的头像 发表于 11-11 16:20 139次阅读

    Linux文件权限详解

    权限的意义在于允许某一个用户或某个用户组以规定的方式去访问某个文件。
    的头像 发表于 11-01 09:45 95次阅读

    Linux用户身份与进程权限详解

    在学习 Linux 系统权限相关的主题时,我们首先关注的基本都是文件的 ugo 权限。ugo 权限信息是文件的属性,它指明了用户与文件之间的关系。但是真正操作文件的却是进程,也就是说用户所拥有的文件
    的头像 发表于 10-23 11:41 251次阅读
    Linux用户身份与进程<b class='flag-5'>权限</b>详解

    详解Linux中的权限控制

    本章将和大家分享Linux中的权限控制。废话不多说,下面我们直接进入主题。
    的头像 发表于 08-05 15:32 469次阅读
    详解Linux中的<b class='flag-5'>权限</b>控制

    鸿蒙开发Ability Kit程序框架服务:声明权限

    应用在申请权限时,需要在项目的配置文件中,逐个声明需要的权限,否则应用将无法获取授权。
    的头像 发表于 07-01 09:22 285次阅读
    鸿蒙开发Ability Kit程序框架服务:声明<b class='flag-5'>权限</b>

    鸿蒙开发组件:DataAbility权限控制

    DataAbility提供数据服务,并不是所有的Ability都有权限读写它,DataAbility有一套权限控制机制来保证数据安全。分为静态权限控制和动态权限控制两部分。
    的头像 发表于 06-21 10:30 295次阅读
    鸿蒙开发组件:DataAbility<b class='flag-5'>权限</b>控制

    鸿蒙原生应用元服务-访问控制(权限)开发应用权限列表三

    ohos.permission.RECEIVE_WAP_MESSAGES 允许应用接收和处理WAP消息。 权限级别 :system_basic 授权方式 :user_grant ACL使能
    发表于 04-25 16:12

    鸿蒙原生应用元服务-访问控制(权限)开发应用权限列表二

    ohos.permission.ACCELEROMETER 允许应用读取加速度传感器的数据。 权限级别 :normal 授权方式 :system_grant ACL使能 :TRUE
    发表于 04-24 15:43

    鸿蒙原生应用元服务-访问控制(权限)开发应用权限列表一

    ohos.permission.USE_BLUETOOTH 允许应用查看蓝牙的配置。 权限级别 :normal 授权方式 :system_grant ACL使能 :TRUE
    发表于 04-23 14:33

    鸿蒙原生应用元服务-访问控制(权限)开发场景与权限声明

    都为normal等级。权限类型分为system_grant和user_grant两种类型。 ** 二、 配置文件权限声明** 应用需要在工程配置文件中,对需要的权限逐个声明,未在配置文件中声明的
    发表于 04-16 14:40

    AWTK 开源串口屏开发(9) - 用户和权限管理

    在AWTK串口屏中,内置用户管理和权限控制的模型,无需编码即可实现登录、登出、修改密码、权限控制、创建用户、删除用户等功能,本文介绍一下用户管理和权限控制的基本用法。用户管理和权限控制
    的头像 发表于 02-19 12:10 476次阅读
    AWTK 开源串口屏开发(9) - 用户和<b class='flag-5'>权限</b>管理

    一分钟了解鸿蒙OS 应用权限管理

    HarmonyOS 中所有的应用均在应用沙盒内运行。默认情况下,应用只能访问有限的系统资源,系统负责管理应用对资源的访问权限。 应用权限管理是由接口提供方(Ability)、接口使用方(应用)、系统
    的头像 发表于 01-26 15:23 763次阅读

    前端大仓monorepo权限设计思路和实现方案

    在 GitLab 未支持文件目录权限设置之前,对于文件目录权限的控制主要依赖 Git 的钩子函数,在代码提交的时候,对暂存区的变更文件进行识别并做文件权限校验,流程设计也不怎么复杂,只需要额外再开发文件目录和研发的
    的头像 发表于 01-12 09:52 660次阅读
    前端大仓monorepo<b class='flag-5'>权限</b>设计思路和实现方案

    oracle系统权限和对象权限的区别

    Oracle系统权限和对象权限是Oracle数据库中的两种不同类型的权限控制机制。虽然它们都是用于限制用户对数据库进行操作的权限,但它们的作用范围和控制粒度有所不同。本文将详细介绍Or
    的头像 发表于 12-05 16:21 974次阅读