2013年4月14日 星期日

研究稱手機應用獲取超量隱私數據






  新浪科技訊 香港時間4月14日消息,法國計算與自由委員會(以下簡稱“CNIL”)的最新研究報告發現,手機應用並未嚴格遵守規定,即使是在沒有必要的情況下,也經常獲取用戶的隱私數據,並將其傳送到遠程服務器中,而用戶卻缺乏足夠的工具來監控這一過程。

  收集數據

  CNIL在6部iPhone上安裝了法國計算機科學研究和控制學會(以下簡稱“INRIA”)開發的監控軟件和分析工具,對189款應用的行為進行了研究。CNIL主席伊莎貝爾‧法爾奎-佩隆迪(Isabelle Falque-Pierrotin)週二表示,此次研究的目標是更好地理解應用究竟會以何種方式使用隱私數據,並不針對任何特定的開發者。

  CNIL並未在實驗室環境中測試應用,而是在實際使用過程中展開研究:他們要求6名志願者在手機中插入自己的SIM卡,然後在去年10月中旬至今年1月中旬間按照自己的意願使用手機。其中一名志願者下載了將近100款應用,另外一名只下載了5款。

  這些應用中,有1/12會訪問用戶的通訊錄,大約有1/3會獲取用戶的定位信息。此次研究過程中,用戶平均每天會被追蹤76次地理位置。簽到應用Foursquare和 Apple 自己的地圖應用對地理信息的追蹤最為頻繁。但考慮到這兩款應用的目的,這一結果完全可以理解。位居其次的則是本地搜索應用AroundMe和 Apple 的鏡頭應用。

  還有1/6的應用訪問過iPhone的名稱。此舉令研究人員大為不解,因為這類信息幾乎沒有任何意義,而且也無法當做設備的唯一標示符使用。不過,這類內容中通常會包含用戶的名字,因此同樣被視為個人身份信息。

  Facebook應用很少訪問這類隱私信息。不過,研究人員表示,這主要是因為Facebook沒有必要獲取這類信息,因為用戶此前已經將各種信息都登記在該服務中。

  此次研究中被應用訪問次數最多的是iPhone的UDID,也就是與手機永久關聯的串號。大約有半數應用訪問過這一數據,其中有1/3會以未加密的方式通過互聯網發送該信息。有一款報紙應用在研究期間訪問過UDID 1989次,向起發行商發送過614次。

  應對措施

  CNIL發言人展示了一款設置工具,可以限制應用對各類信息的訪問權限。 Apple 尚未收到這款工具,但INRIA表示,如果該公司感興趣,他們可以為其提供代碼。

  iPhone用戶幾乎無法瞭解他們的應用會訪問哪些信息或系統功能,而Google Play商店雖然可以展示這類數據,但只能選擇接受或不接受,無法進行調整。舊版黑莓操作系統允許用戶自由選擇允許一款應用使用的API(應用編程接口),但卻有可能導致應用崩潰。在黑莓10中,只能針對原生應用進行細緻調整,如果是從Android平台移植來的應用,同樣只能選擇接受或不接受。

   Apple 已經採取了一些措施,為用戶提供更大的控制權。在iOS 5中,用戶可以單獨阻止特定應用獲取自己的地理位置。iOS 6又新增了一個選項,禁止開發者使用UDID確定用戶身份併發送定向廣告。

   Apple 在iOS 6中為開發者提供了廣告標識符(Advertising Identifier)幫助其投放廣告。但這種標識符不會與手機或個人永久關聯,用戶可以自行更改設置。

  不過,本次研究中並未使用這一選項,出於技術原因,他們本次使用的系統為iOS 5。下一階段的研究則會使用iOS 6。INRIA已經升級了監控工具,以適應這款新的操作系統。

  為了監控應用對隱私信息的訪問情況,INRIA對iPhone進行了越獄,並安裝了特殊的應用來攔截應用獲取隱私信息時使用的API。研究人員此次之所以選擇iPhone,是因為他們對iOS的開發已經非常熟悉,但目前也在為Android手機開發類似的功能。

  INRIA和CNIL剛剛對此次研究中的數據展開了初步研究:他們此間共收集到9GB的數據,涵蓋700萬次隱私事件。

  不過,某些隱私數據獲取行為只是意外。例如,有一款應用在尋找附近的遊泳池時獲取了超出必要水平的數據。但CNIL的研究人員表示,這一問題顯然源於程式故障。(書聿)



.研究稱手機應用獲取超量隱私數據
http://digital1010.blogspot.com/2013/04/blog-post_9966.html