本篇文章1584字,读完约4分钟
据法国计算与自由委员会(cnil)在北京时间4月10日的最新研究报告显示,手机应用并没有严格遵守规定,即使是不必要的,它也经常获取用户的私人数据并将其传输到远程服务器,但用户缺乏足够的工具来监控这一过程。
收集数据
Cnil在iphone 6上安装了法国计算机科学研究与控制研究所(以下简称“inria”)开发的监控软件和分析工具,并研究了189个应用程序的行为。cnil总裁Isabelle falke-pierro tin周二表示,这项研究的目标是更好地了解应用程序将如何使用私有数据,而不是针对任何特定的开发人员。
Cnil没有在实验室环境中测试该应用,但在实际使用过程中进行了研究:他们让六名志愿者将sim卡插入他们的手机,然后从去年10月中旬到今年1月中旬按照自己的意愿使用手机。其中一名志愿者下载了近100个应用,而另一名志愿者只下载了5个应用。
在这些应用程序中,1/12将访问用户的地址簿,大约1/3将获得用户的位置信息。在这项研究中,用户平均每天被跟踪76次。登录应用foursquare和苹果自己的地图应用程序最频繁地跟踪地理信息。然而,考虑到这两个应用的目的,这个结果是完全可以理解的。其次是我周围的本地搜索应用程序和苹果的相机应用程序。
还有六分之一的应用程序使用了iphone的名字。研究人员对此感到困惑,因为这种信息几乎没有任何意义,不能作为设备的唯一标识符。然而,这样的内容通常包含用户的名字,所以它也被认为是个人身份信息。
Facebook应用很少访问这样的私人信息。然而,研究人员表示,这主要是因为facebook不需要获取此类信息,因为用户已经在服务中注册了各种信息。
在这项研究中,iphone的udid是与手机永久关联的序列号,是最常访问的应用程序。大约一半的应用程序已经访问了这些数据,三分之一的应用程序将以未加密的方式通过互联网发送这些信息。在研究期间,一份报纸申请访问了udid 1989次,并向出版商发送了614次。
回应
cnil的一位发言人展示了一个设置工具,可以限制应用程序对各种信息的访问权限。苹果还没有收到这个工具,但是inria说如果公司感兴趣,他们可以提供它的代码。
Iphone用户几乎不知道他们的应用程序将访问哪些信息或系统功能,而谷歌play Store可以显示这类数据,但它只能选择接受或不接受,不能进行调整。旧的黑莓操作系统允许用户自由选择应用程序允许的应用程序编程接口,但它可能会导致应用程序崩溃。在黑莓10中,它只能针对本地应用进行仔细调整。如果应用程序是从安卓平台移植的,它只能被接受或拒绝。
苹果已经采取了一些措施为用户提供更大的控制权。在ios 5中,用户可以单独阻止特定应用程序获取他们自己的地理位置。Ios 6增加了另一个选项,禁止开发者使用udid来识别用户和发送定向广告。
苹果在ios 6中为开发者提供广告标识符,帮助他们投放广告。但是,该标识符不会永久地与移动电话或个人相关联,用户可以自己更改他们的设置。
然而,这项研究没有使用这个选项。出于技术原因,他们这次使用的系统是ios 5。下一阶段的研究将使用ios 6。Inria已经升级了监控工具,以适应这种新的操作系统。
为了监控应用程序对私人信息的访问,inria越狱了iphone,并安装了一个特殊的应用程序来拦截应用程序用来获取私人信息的api。研究人员这次选择了iphone,因为他们已经熟悉了ios的开发,但他们也在为安卓手机开发类似的功能。
Inria和cnil刚刚对这项研究中的数据进行了初步研究:他们收集了9gb的数据,涵盖了700万起隐私事件。
然而,一些私人数据采集行为只是意外。例如,当寻找附近的游泳池时,应用程序获得的数据比需要的多。然而,cnil研究人员表示,这个问题显然源于程序失败。(书)
