世界杯赛事期间,除了日渐白热化的赛事夺人眼球外,不少广告也同样吸引了广大观众的注意力,比如蓝厂新机,其使用时需弹出的摄像头一时间成为“鉴定流氓app”神器。尽管官方称这是应用在读取权限,并未侵犯用户隐私,但应用风险还是引发了大众焦虑。
国外研究者也同样在关注此类问题,最近美国东北大学研究发现,一些安卓应用程序存在“令人担忧的”隐私漏洞——手机应用程序可以在用户不知情的情况下,拍摄和分享手机应用程序活动的屏幕截图和视频。
“我们的研究揭示了安卓应用生态系统中存在的几个令人担忧的隐私风险,包括那些在用户不知情或未经用户同意的情况下,过度提供媒体权限的应用,以及那些以意想不到的方式与其他方共享图像和视频数据的应用。”
该研究报告由美国东北大学的研究人员在周三发布,研究了来自Google Play,应用汇,小米应用商店和安智等市场的17,260个应用程序。虽然很大一部分应用程序并没有滥用这种在手机上记录媒体的能力,但研究人员确实发现了隐藏秘密的“实例”。
研究人员在应用程序上结合使用静态分析(检查代码而不执行程序)和动态分析(通过实时执行数据来测试和评估程序)来发现应用程序是否不恰当地收集和泄漏媒体资料,例如视频或图片。研究需要检查应用程序是否请求访问摄像头和麦克风权限,是否在应用程序代码中实际引用了媒体API,以及是否有任何潜在的API引用来自第一方开发或第三方库的代码。
应用问题
在一次事件中,研究人员发现按需交付应用程序(Google Play上提供的GoPuff)已将视频泄露给第三方分析平台提供商。在对应用程序APK进行解压缩后,他们发现GoPuff会在应用一启动就记录屏幕,并将互动视频发送到第三方分析公司Appsee所拥有的域。
“如果大规模采用屏幕录制和/或处理敏感数据的应用程序,特别是当确保私人信息的全部负担被放在开发人员身上时,屏幕录制可能会暴露大量用户的PII。此外,我们认为记录与应用程序的交互(没有用户知识)本身就是一种隐私侵犯,类似于记录用户的音频或视频。”
研究人员向GoPuff反馈了这个问题,GoPuff将Appsee SDK从iOS和Android应用中撤下,并更新了他们的隐私政策。他们还向谷歌披露了此事,谷歌回应道:“谷歌一直以来监控应用程序和分析提供商,以确保它们符合政策。”在得知我们的调查结果后,他们审查了GoPuff和AppSee,并采取了相应的措施。
“这项研究测试了数十个使用Appsee的应用程序,但只有一个(GoPuff)没有向用户披露事实,而且据观察,GoPuff正在用Appsee获取邮政编码信息。就像应用开发者可以向任何第三方发送敏感信息一样,Appsee无法控制我们从客户那里接收到的数据。在这种情况下,Appsee的技术似乎被客户滥用了,我们的服务条款被违反了。我们一注意到问题,就立即禁用了上述应用程序的跟踪功能,并从我们的服务器上清除了所有相关数据。”Appsee的首席执行官兼联合创始人扎希·布西巴(Zahi Boussiba)对媒体说。
另一个应用程序使用了Google Play上的移动测试平台TestFairy的摄像功能,通过截图记录用户的互动。此API截图方法由网络应用程序用于会议,称为SAHIC。该网络应用程序使用beta测试库获取45个屏幕截图,包括搜索与会者,向联系人发送消息以及对调查的响应。
“虽然这个功能通常在beta测试期间使用,但该应用并未在Google Play商店中标记为测试版,用户也没有被告知录音,也没有机会在打开应用程序时同意进行beta测试。因此,这些应用的任何合理用户都可能永远不会想到她的互动屏幕截图。“
最后,研究人员发现了一个令人不安的趋势:照片编辑应用程序比如名为“照片卡通相机”(photo animation Camera)的PaintLab——会将照片发送到服务器上进行处理(不通知用户),而不是在设备上进行编辑。
经调查,竟然多达6个应用程序采用了这种方法——包括FaceApp、Prisma图片编辑器和InstaBeauty -妆容自拍摄像头。这些应用的隐私信息披露也不明确——例如,两款照片编辑应用的开发者Fotoable提供了一项隐私信息披露,只是声明个人数据可能被收集和使用。研究者认为,这项披露可能具有误导性,因为该应用程序并未指示在编辑用户照片时上传用户的照片。
Android权限和第三方
Tripwire的VERT (漏洞研究团队)的电脑安全研究员克雷格•杨(Craig Young)告诉媒体,这个漏洞不在安卓系统内部,并非安卓开发人员与第三方共享数据,而是因为应用程序能够捕获用户提交的任何数据应该是常识。“真正的风险在于,应用程序开发人员包括第三方库,不了解正在收集的数据,这是一个典型的供应链安全问题,移动应用生态系统中广告收入的重要性似乎放大了这个问题。”
研究人员指出,与摄像头和音频API不同,用于截屏和录制屏幕视频的API不受任何权限的保护,而且如果最终用户被泄露给第三方,也不会向最终用户披露。“鉴于传感器数据非常敏感,Android和iOS操作系统包括大多数传感器的强制访问控制机制。但是现有的许可模式只能部分缓解多媒体隐私问题,因为它们并不完整。”
研究人员称,Android应用程序开发人员必须列出他们计划在所有Android软件包(APK)的AndroidManifest.xml文件中使用的权限。同时,用户可以接受或拒绝权限请求。但是,当涉及到相机和音频API时,它们不受任何许权限的保护 ——这意味着应用程序可能会在用户不知情的情况下记录用户的屏幕交互。
谷歌的个人和敏感信息隐私政策规定,应用程序必须有一项隐私政策,与任何应用程序内披露的信息一起,全面披露应用程序如何收集、使用和共享用户数据,包括与之共享的各方类型。谷歌发言人表示,“我们一直非常感谢研究界努力帮助改善在线隐私和安全实践,在审查了研究人员的调查结果后,我们确定AppSee服务的一部分可能会使一些开发人员面临违反Play政策的风险。我们正在与他们密切合作,以帮助确保开发人员将SDK的功能与其应用的最终用户进行适当的沟通。”
预防
研究人员强调,用户应始终密切关注其应用权限,尤其是对于处理敏感数据的应用。用户可以访问应用程序权限,打开他们的设置应用程序,单击要检查的应用程序,然后点击权限。从那里,他们将能够看到应用程序可以访问的所有内容,并关闭某些权限。