2019/08/26

[資安新聞] 破千款 Android App 違規蒐集個資,連拒絕授權都沒用

點閱人次:39

公佈單位:TANet VoIP維運團隊

應用程式的權限本意是讓使用者選擇願意提供給應用程式的資訊,但研究人員發現即使用戶拒絕提供權限,還是有超過 1,000 個應用程式會想辦法蒐集地理位置和電話等個人資訊。

國際電腦科學研究所(ICSI)的研究人員發現,即使在用戶明確拒絕提供權限,也有高達 1,325 個 Android 應用程式會從裝置蒐集個人資料。這項研究調查 Google Play 應用程式商店超過 8.8 萬個 App,並追蹤用戶拒絕提供權限後資料會如何經由 App 傳送。

ICSI 使用安全及隱私研究主任 Serge Egelman 表示,消費者沒有什麼工具和線索來保護自己的隱私,如果應用程式開發者可繞過系統蒐集個資,那麼向消費者要求提供權限相對就沒什麼意義。Egelman 表示,研究人員在 2018 年 9 月就向 Google 和聯邦貿易委員會(FTC)通報,Google 則表態會在 2019 年上線的 Android Q 版本解決這些問題。

研究人員發現即使用戶拒絕提供地理位置權限,包括照片編輯 App Shutterfly 等一些應用程式會從照片蒐集 GPS 坐標,並將資料回傳到自家伺服器。即使研究人員已提出研究成果,Shutterfly 發言人還是表示只會在獲得授權時蒐集地理位置資料。

另一些應用程式則是在授權使用部分使用者個資的狀況下,蒐集並夾帶未授權使用的個資,包括手機 IMEI 序號。雖然只有約 13 個應用程式採取這種作法,但這些 App 的總安裝次數超過 1,700 萬次,其中包括百度的香港迪士尼樂園應用程式。

 

 

以上新聞轉載自 TechNews 科技新報