研究稱上萬款安卓應用違規收集使用者資訊 包括獵豹移動多款應用
[ 摘要 ]谷歌表示,只有當Android應用程式將識別符號傳送到谷歌自己的廣告網路(如AdMob)時,它才能執行自己的政策。如果應用程式將資料傳送到外部網路,谷歌便無法監控它們的違規行為。
騰訊科技訊 據外媒報道,有些應用程式會隨著時間的推移跟蹤你的活動,即使你要求它們刪除過往資訊,而且你對此無能為力。
據國際電腦科學研究所(International Computer ScienceInstitute)向科技媒體CNet展示的一項研究顯示,大約17000個Android應用程式會收集標識資訊,建立你的裝置活動的永久記錄。研究人員說,這些資料收集似乎違反了谷歌關於收集資料的政策,在大多數情況下,這些資料可以用來針對使用者進行廣告宣傳。
這些應用程式可以通過將廣告ID(一個用於定製廣告的獨特但可重置的號碼)與手機上其他難以更改或不可能更改的識別符號相連結來跟蹤你。這些識別符號是裝置的唯一簽名:MAC地址、國際行動電話裝置識別碼(IMEI)和Android ID。只有不到三分之一收集識別符號的應用會像谷歌建議的那樣只使用廣告ID。
這項研究的帶頭人塞爾日·埃格爾曼(Serge Egelman)說,當應用程式收集這些永久標識時,“隱私就消失了”。他說,他的團隊在去年9月份向谷歌報告了這一發現,觀察到大多數應用程式向廣告服務傳送識別資訊,這明顯違反了谷歌的政策。
該公司的政策允許開發人員收集識別符號,但禁止它們在未經使用者明確同意的情況下將廣告ID與硬體ID相結合,或者禁止使用無法重置的識別符號來定位廣告。此外,谷歌的政策建議開發者只收集廣告ID。
這種行為在科技行業擁有悠久的歷史:雖然制定了隱私措施,但網站和應用程式開發人員很快就學會了繞過這些措施。例如,Adobe在2011年被迫解決Flash的cookie快取問題,此前使用者抱怨稱,即使在清除了所有cookie後,Flash片段仍然會存在於瀏覽器中。2014年,對於運營商Verizon和AT&T使用所謂的“超級Cookie”也出現了類似的抱怨,這些所謂的“超級cookie”在多臺裝置上跟蹤使用者,且無法清除。2012年,微軟指責谷歌規避其P3P網路隱私標準,該標準允許IE瀏覽器使用者設定他們對cookie的偏好。(谷歌反駁說,這個標準當時已經不再有用)。
由於智慧手機和平板電腦的激增,移動應用程式收集的資料引發了更廣泛的審查。今年1月,Facebook和谷歌都被發現使用一種開發工具來規避蘋果的隱私規則,並開發收集使用者資訊的iOS應用。2018年Facebook的劍橋分析(Cambridge Analytica)醜聞和其他隱私爭議引發了對資料收集和使用方式的更嚴格審查。
埃格爾曼的團隊此前曾發現約6000款兒童應用程式不當收集資料。該團隊週四表示,許多面向成年人的大牌應用也在向廣告服務部門傳送永久標識。這些應用包括流行智慧手機遊戲《憤怒的小鳥經典版》,Audiobooks公司的Audiobooks,以及Flipboard。獵豹移動公司的清理大師、電池醫生和獵豹輸入法,也被發現向廣告網路傳送永久性資訊。
所有這些應用程式都已安裝在至少1億臺裝置上。包含防病毒和電話優化功能的工具應用獵豹清理大師已安裝在10億臺裝置上。
谷歌的行動
谷歌表示,已經對埃格爾曼的報告進行了調查,並對一些應用程式採取了行動。該公司拒絕透露對多少應用程式採取了行動,也沒有說明採取了什麼行動,或者這些應用程式違反了哪些政策。該公司表示,其政策允許收集硬體識別符號和Android ID,來用於欺詐檢查等某些目的,但不允許用於定向廣告。
谷歌還表示,只有當Android應用程式將識別符號傳送到谷歌自己的廣告網路(如AdMob)時,它才能執行自己的政策。如果應用程式將資料傳送到外部網路,谷歌便無法監控它們的違規行為。
谷歌發言人在一份宣告中表示:“我們非常認真地對待這些問題。我們嚴禁將廣告ID與裝置識別符號結合用於個性化廣告。我們一直在審查應用程式——包括這份研究報告中列出的應用——並將在它們不符合我們的政策時採取行動。”
谷歌有許多旨在保護使用者隱私和安全的舉措。在週三的一篇部落格文章中,該公司表示,2018年,它在谷歌Play商店遮蔽的違規應用數量增加了55%。
《憤怒的小鳥》開發商Rovio和Audible的代表沒有回覆記者的置評請求。
獵豹移動的一位發言人在電子郵件中表示,該公司的應用程式向一家公司傳送裝置的Android ID,以幫助該公司跟蹤其產品的安裝情況。這位發言人說,這些資訊沒有被用於定向廣告,而且該公司遵守所有相關的谷歌政策和法律。
他補充說,研究人員測試的電池醫生版本已經過時;獵豹移動公司在2018年更新了這款應用,不再收集IMEI。
Flipboard說,它不使用Android ID進行廣告定位。
埃格爾曼團隊發現的資料收集行為與2015年Uber在iOS上遇到的問題類似。據《紐約時報》當時報道,蘋果執行長蒂姆·庫克(Tim Cook)在得知Uber違反蘋果的政策收集iOS使用者的硬體識別符號後十分憤怒,並威脅要從App Store中刪除Uber應用。
埃格爾曼的團隊在Android 6作業系統上測試了這些應用。根據谷歌去年10月份的一項分析,超過一半的安卓裝置執行Android 6或更早版本的系統。
埃格爾曼說,改變廣告ID應該能起到與清除你的網頁瀏覽資料相同的作用。當你清除cookie時,你過去訪問的網站將不會認出你。這樣他們就不能隨著時間的推移建立起關於你的資料了。
但是你不能重置其他識別符號,如MAC地址和IMEI。這兩個識別符號有時可用於防止被盜電話訪問蜂窩網路。Android ID是每個裝置唯一的另一個識別符號。它可以重置,但只有在你將裝置恢復到出廠重置時才能重置。
如果應用程式向廣告網路傳送這些識別符號中的任何一個,無論你多少次重置廣告ID都無關緊要。他們還是能分辨出是你。
Saul Ewing Arnstein & Lehr律師事務所的隱私和網路安全律師桑迪·比勒斯(Sandy Bilus)表示,這些應用程式可能違反了歐盟最新的“通用資料保護條例”(General Data Protection Regulations),該條例要求公司向用戶報告它們收集的資料。
“這肯定會引發GDPR問題,”比勒斯說。“收集和使用這些資料的應用開發商應該小心這一點。”
卡內基梅隆大學的洛裡·費思·克拉諾(Lorrie Faith Cranor)表示,谷歌最有能力打擊違規收集硬體識別符號和Android ID的應用。
克拉諾說,應用開發商正在為廣告ID建立變通方法,這表明許多人正在重新設定識別符號,即使大多數使用者不知道這種隱私功能。
“要不然,應用開發商為什麼要費這個心呢?”她說。(騰訊科技審校/昔夏)