acm-header
登录

ACM通信

BLOG@CACM

大多数智能手机应用程序都是间谍软件


卡内基梅隆大学副教授Jason Hong说

想象一下,如果我告诉你,你访问的网站正在收集你的电话号码,跟踪你的位置,可能还在收集你的联系人列表。你不仅会为此怒火中,你还会看到要求国会调查、抵制这些网站的广泛要求,以及网站开发者和广告网络为保护自己而采取的大量防御措施。

一个肮脏的秘密是,许多智能手机应用程序已经获得了这类数据,甚至更多。在计算机安全研究界,许多此类应用程序本质上是间谍软件是众所周知的。但在研究界之外,迄今为止几乎没有关于它的噪音(最显著的例外是《华尔街日报》对最受欢迎的Android和iPhone应用程序的分析).

例如,流行的潘多拉音乐应用程序是联邦大陪审团调查的对象因为这款应用(安卓和iPhone都有)会向广告公司发送用户的出生日期、性别、唯一ID和GPS位置等信息。

还有其他一些流行的应用程序也具有同样的侵入性。有想要知道你电话号码的年鉴应用,有想要知道你全部联系人名单的公共交通时刻表应用,有想要你手机唯一ID的游戏,还有想要知道你位置的圣经应用(很明显,即使是最高的神也需要帮助才能知道你在哪里)。

最近的新闻里,有一个愤怒的Path移动社交网络应用,它可以将人们的整个联系人列表上传到他们的服务器上.(值得指出的是,Path并不是唯一一个这样做的应用程序,它只是被发现的最突出的一个)

为什么应用程序要收集所有这些个人信息?

有些应用程序实际上是恶意软件,旨在感染你的智能手机,窃取你的个人数据。有时犯罪分子会将现有的应用程序反编译,添加一些恶意代码,并将其重新投放到应用程序市场(免费),欺骗人们安装它们。(所以要小心知名付费应用的免费应用)

然而,大多数这些侵入性的应用程序想要个人信息,比如你手机的唯一ID和位置数据,只是为了广告目的。一些研究人员的分析发现,许多最受欢迎的应用程序经常使用第三方分析包和广告网络其中很多都依赖于位置数据和手机的唯一ID来工作。在这种情况下,如果应用开发者想要通过应用盈利,他们便没有太多选择。

今天的网站使用cookie跟踪身份,这是一种临时的假名标识符,如果需要,终端用户可以阻止或删除它。然而,智能手机上并没有真正的cookie。我的猜测是,广告网络很乐意拥有你手机的特定标识符,但也同样乐意拥有某种可重复使用的标识符,以便追踪用户,了解他们看到了什么广告,他们点击了什么类型的广告。手机的唯一ID只是最方便的标识符。

关于定位,许多基于网络的广告网络已经使用地理定位技术在你浏览网页时找到你的位置。这些技术往往是粗粒度的,使用您的IP地址来推断您所在的城市。然而,对于智能手机来说,应用程序可以获得你的确切位置,这意味着它们也可以推断出你工作、生活和娱乐的地方。

不幸的是,智能手机用户几乎没有保护自己的方法。苹果在获取位置数据时要求终端用户明确批准,这是正确的做法(在Path联系人列表崩溃后,现在也需要联系人列表)。Android还会在安装应用程序之前向人们显示应用程序将使用的权限列表。然而,这些机制给终端用户带来了太多的负担,他们很可能不会理解他们的决定的含义。我认为它们比询问你是否愿意接受网络证书的网页浏览器要好一些。

相反,智能手机操作系统本身,以及应用市场制定的关于应用能做什么和不能做什么的政策,都需要更多的保护和执行。

例如,操作系统可以做的一件简单的事情是限制对智能手机唯一id的访问,而不是提供相当于web浏览器cookie的功能,终端用户可以定期删除这些cookie,如果他们愿意的话。这种方法在应用开发者(希望通过应用盈利)、广告网络(希望跟踪广告的效果和显示)和终端用户(希望管理自己的隐私)之间取得了平衡。这个解决方案也符合当今网络的工作方式,减少了终端用户必须学习的概念数量。

操作系统可以做的另一件简单的事情是只允许粗粒度的位置数据到知名的广告网络,在邮政编码级别或城市级别。这再次平衡了收益模式(如果我们想要免费应用,这是必须的)和隐私。

从长远来看,在改善应用程序的隐私和安全方面还有许多有待解决的问题。这包括为应用程序提供更好的隐私总结,迫使广告网络和应用程序遵守某些关于数据使用和数据保留的规则,提供工具包,让应用程序开发者能够轻松地做正确的事情,让应用程序市场能够轻松地检查情况是否属实。

智能手机市场正在走出童年,进入青春期,我们开始看到一个狂野而开放的应用市场所带来的成长烦恼。智能手机拥有令人难以置信的潜力,能够以新的方式将我们与他人联系起来,甚至可以将物理世界作为工具,但如果隐私问题没有得到充分和合法的解决,所有这些潜力都可能面临风险。


评论


匿名

看起来真的很令人震惊!独家内容揭示了大多数智能手机应用程序是间谍软件。杰森,我知道这件事真的很惊讶但是独家消息来源看起来真的很有希望。我也是一名移动应用程序开发人员,感谢分享一些关于移动应用程序的觉醒功能。


Piedad罗宾斯

作为https://appdevelopmenttexas.net/的智能手机应用程序开发者,我相信所有的应用程序都不是间谍软件,但我同意你的观点,大多数公司开发应用程序只是为了赚钱,而不是因为人们喜欢或不喜欢什么


显示所有2评论

登录为完全访问
»忘记密码? »创建ACM Web帐号
Baidu
map