逾千Android Apps竊用戶私隱

By on July 10, 2019

原文刊於信報財經新聞「StartupBeat創科鬥室

逾千個安卓應用程式被揭發,當用戶明確拒絕授權後,仍強行收集個人資料。(路透資料圖片)

逾千個安卓應用程式被揭發,當用戶明確拒絕授權後,仍強行收集個人資料。(路透資料圖片)

應用程式暗中竊取私隱,令全球用戶防不勝防。國際電腦科學研究所(ICSI)發現,即使用戶明確拒絕授權,仍有1325個安卓(Android)應用程式最終繞過系統各項限制,從設備上收集個人資料,包括地理位置、手機標識符,甚至存取SD記憶卡等資料。

港迪士尼三星遭點名

據科技網站CNET報道,研究人員觀察了8.8萬多個Google Play應用程式,追蹤它們被用戶拒絕收集資料後,最後有什麼實際反應。研究人員發現,1325個違反安卓許可權的應用程式透過代碼漏洞,從WiFi連接及圖片元數據(metadata)獲取用戶資料。

以圖片編輯程式Shutterfly為例,該程式一直在用戶未授權情況下,把照片記錄的GPS全球定位數據暗自回傳至廠方伺服器。

此外,部分應用程式透過「外援」假借其他已獲授權的程式,讀取設備SD卡內不受保護的檔案,收集手機標識符(如IMEI號碼)。報告更點名指出一些可疑應用,包括採用百度地圖的香港迪士尼樂園程式,以及三星(Samsung)的健康及瀏覽器程式。

研究又指出,其他程式通過連接WiFi網路,藉找出路由器MAC地址,以收集用戶位置數據,包括被用作智能遙控的應用。研究報告的更多細節,將於8月舉行的USENIX Security網絡安全會議上公布。

Google坦言暫難堵塞漏洞

ICSI使用安全和私隱研究主管Serge Egelman指出,研究人員去年9月已把問題通知了Google及美國聯邦貿易委員會(FTC)。

Google坦言暫時無法解決,待今年稍後發布的Android Q系統,才有望堵塞上述私隱漏洞。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們