2013年4月10日午间消息,法国计算与自由委员会(以下简称“CNIL”)的最新研究报告发现,手机应用并未严格遵守规定,即使是在没有必要的情况下,也经常获取用户的隐私数据,并将其传送到远程服务器中,而用户却缺乏足够的工具来监控这一过程。
收集数据
CNIL在6部iPhone上安装了法国计算机科学研究和控制学会(以下简称“INRIA”)开发的监控软件和分析工具,对189款应用的行为进行了研究。CNIL主席伊莎贝尔·法尔奎-佩隆迪(Isabelle Falque-Pierrotin)周二表示,此次研究的目标是更好地理解应用究竟会以何种方式使用隐私数据,并不针对任何特定的开发者。
CNIL并未在实验室环境中测试应用,而是在实际使用过程中展开研究:他们要求6名志愿者在手机中插入自己的SIM卡,然后在去年10月中旬至今年1月中旬间按照自己的意愿使用手机。其中一名志愿者下载了将近100款应用,另外一名只下载了5款。
这些应用中,有1/12会访问用户的通讯录,大约有1/3会获取用户的定位信息。此次研究过程中,用户平均每天会被追踪76次地理位置。签到应用Foursquare和苹果自己的地图应用对地理信息的追踪最为频繁。但考虑到这两款应用的目的,这一结果完全可以理解。位居其次的则是本地搜索应用AroundMe和苹果的摄像头应用。
还有1/6的应用访问过iPhone的名称。此举令研究人员大为不解,因为这类信息几乎没有任何意义,而且也无法当做设备的唯一标示符使用。不过,这类内容中通常会包含用户的名字,因此同样被视为个人身份信息。
Facebook应用很少访问这类隐私信息。不过,研究人员表示,这主要是因为Facebook没有必要获取这类信息,因为用户此前已经将各种信息都登记在该服务中。
此次研究中被应用访问次数最多的是iPhone的UDID,也就是与手机永久关联的串号。大约有半数应用访问过这一数据,其中有1/3会以未加密的方式通过互联网发送该信息。有一款报纸应用在研究期间访问过UDID 1989次,向起发行商发送过614次。
应对措施
CNIL发言人展示了一款设置工具,可以限制应用对各类信息的访问权限。苹果尚未收到这款工具,但INRIA表示,如果该公司感兴趣,他们可以为其提供代码。
iPhone用户几乎无法了解他们的应用会访问哪些信息或系统功能,而Google Play商店虽然可以展示这类数据,但只能选择接受或不接受,无法进行调整。旧版黑莓操作系统允许用户自由选择允许一款应用使用的API(应用编程接口),但却有可能导致应用崩溃。在黑莓10中,只能针对原生应用进行细致调整,如果是从Android平台移植来的应用,同样只能选择接受或不接受。
苹果已经采取了一些措施,为用户提供更大的控制权。在iOS 5中,用户可以单独阻止特定应用获取自己的地理位置。iOS 6又新增了一个选项,禁止开发者使用UDID确定用户身份并发送定向广告。
苹果在iOS 6中为开发者提供了广告标识符(Advertising Identifier)帮助其投放广告。但这种标识符不会与手机或个人永久关联,用户可以自行更改设置。
不过,本次研究中并未使用这一选项,出于技术原因,他们本次使用的系统为iOS 5。下一阶段的研究则会使用iOS 6。INRIA已经升级了监控工具,以适应这款新的操作系统。
为了监控应用对隐私信息的访问情况,INRIA对iPhone进行了越狱,并安装了特殊的应用来拦截应用获取隐私信息时使用的API。研究人员此次之所以选择iPhone,是因为他们对iOS的开发已经非常熟悉,但目前也在为Android手机开发类似的功能。
INRIA和CNIL刚刚对此次研究中的数据展开了初步研究:他们此间共收集到9GB的数据,涵盖700万次隐私事件。
不过,某些隐私数据获取行为只是意外。例如,有一款应用在寻找附近的游泳池时获取了超出必要水平的数据。但CNIL的研究人员表示,这一问题显然源于程序故障。
更多阅读:
