拒絕權限請求也沒用,Android app 照樣可以追蹤手機

Android_companion

照片來源

當 Android app 向您要求位置存取權限時而您拒絕時,以為這樣做 Android app 就真的無法獲取位置訊息了嗎?研究人員表示,Android 上有數百萬的 app 會繞過系統,將網路設備的唯一識別碼等資料傳出去,以追蹤使用者的位置。

就算使用者拒絕一個 app 要求存取識別資料的權限,但若使用者允許另外一個 app 存取資料權限時,這個被允許要求的 app 就將這些隱私資料分享給其它 app,或將這些資料放在共享儲存空間裡,以便其它 app(甚至是惡意軟體)存取。這些共享資料的 app 彼此看起來似乎沒有關聯,研究人員卻發現,這些 app 都是利用同一套軟體開發套件(SDK)所製作的,因此它們有共通的資料存取權限,甚至該 SDK 的擁有者還可以接收這些 app 傳回來的資料。

根據 PrivacyCon 2019 上所發表的一項研究,如 Smasung 三星與迪士尼這類已經被下載數十億次的 app,皆使用中國搜索引擎「百度」與一家名為 Salmonads 的分析公司所提供的 SDK。它可將您的資料自一個 app 傳送至另一個 app,甚至是傳回他們自己的伺服器上。

除此之外,該團隊還發現了許多旁路漏洞(side channel vulnerabilities),其中一些漏洞會將網路晶片和路由器、無線存取點,SSID 等帶有唯一 Mac 地址的資料送回。這種繞過系統權限的情形在 Android app 上很常見。研究中特別指出 Shutterfly 這個照片 app,它會將實際的 GPS 坐標發送回其伺服器 – 只要由照片的 EXIF metadata 中就可以挖出資料,根本不必要求位置追蹤權限。

研究人員表示,他們去年 9 月已向 Google 通報此漏洞,這些問題有一部分將在 Android Q 中獲得修復。然而,這對那些無法更新至 Android N 可能沒有幫助。截至今年 5 月為止,僅有 10.4 % 的 Android 設備安裝最新的 Andriod P 系統,仍有超過 60% 的手機還在執行三年前的系統 Android N。

研究人員認為 Google 應該採取進一步措施,最好同時在安全更新中推出修補程式。不應該只有新手機獲得保障,尤其 Google 曾公開表示:「隱私不應成為奢侈品。」