转载

研究显示APP窃取用户数据日益猖獗，连搜索记录都不放过

　　英文原文：User data plundering by Android and iOS apps is as rampant as you suspected

　　最近公布的研究报告显示，研究人员在对 Google Play 和苹果 APP Store 上的 110 款应用程序检测中发现这些应用程序大部分都会频繁地把用户的一些隐私信息提供给第三方，而且更为严重的是这种行为往往很少或根本没有通知到用户。

　　研究人员分别从两大平台选取了前 55 款最流行的应用进行调查，绝大部分的应用程序都会定期向谷歌，苹果和其它第三方提供用户的电子邮件地址、名称和物理位置。平均而言，每个 Android 的应用程序会向 3.1 个第三方域名发送潜在的敏感数据，而 iOS 的应用程序的这个数字是 2.6。在某些情况下，关于健康的应用程序会在不通知用户的情况下，向五个以上的第三方域名发送包括诸如“疱疹”和“干扰素”等搜索记录。

“这项研究的结果指出，iOS 和 Android 目前的权限系统并不能有效的告知用户数据共享的情况，可控程度较差。Android 和 iOS 的应用程序目前并不需要用户许可就可以将行为数据上传给其他第三方域名。”

　　Android 应用程序发送的最普遍的个人信息是用户的电子邮件地址，在此次抽样调查中，73% 的应用都会发送这类数据。从整体来看，有 49% 的 Android 应用会偷偷上传用户的姓名信息，33% 会偷偷上传用户目前的 GPS 方位信息，25% 会偷偷发送地址信息，还有 24% 会偷偷发送手机的 IMEI 码或其他信息。一款来自 Drug.com 的应用还将“疱疹”和“干扰素”等医疗词汇的搜索记录发送到包括 doubleclick.net、googlesyndication.com、intellitxt.com、quantserve.com 和 scorecardresearch.com 这五个域名上。虽然这五个域名不会收到其他的个人信息，但这并不能掩盖其窃取用户隐私的事实。

　　同样值得关注的是，Android 应用还会向第三方发送一些潜在的敏感数据组合。例如，Facebook 就会从调查中的 55 款应用中的 7 款学术方面的应用接收到用户的姓名和位置信息，这七款分别是 American Well、Groupon、Pinterest、RunKeeper、Tango、Text Free 和 Timeshop。情况相类似的还有 Appboy.com，这一域名也会从 Glide 应用接收到这种组合数据。

　　研究人员还注意到，在此次测试的 55 款 Android 应用中，有 51 款都会连接到 Safemovedm.com 这一域名。该域名连接的用途目的现在还没有查明，但它竟然能够覆盖到这么多应用之中着实令人感到很好奇。同时，即使是在我们没有运行任何应用的情况下，这一域名仍然被连接着。研究人员怀疑其可能是通过 Android 系统的后台连接的。为了避免错误地将这个连接归于测试的应用之中，所以研究人员将它从表格数据中剔除。发送给 Safemovedm.com 的这一信息流表明，Android 有可能能够不通过 HTTP 端口，而通过其他未被发现的端口来上传信息。

　　不过 Google 的发言人对此并未提供任何与 safemovedm.com 有关的信息，也没有说明 Android 系统是如何连接到这一域名的。不过，直接通过网上搜索倒是找到了很多与“safemovedm.com 是如何连接到 Android 设备”的相关理论，只不过都没有确切的证据能够证明。

　　我们再回过头来看看 iOS 方面。iOS 的应用程序经常会向第三方域名偷偷发送用户的当前位置信息，55 款应用中有 47% 的应用传输了这类的数据。从整体上来看，有 18% 的应用程序偷偷发送用户的姓名信息，有 16% 偷偷发送用户的电子邮件地址信息。其中，名为 Pinterest 的应用程序会将用户的姓名偷偷发送到四个第三方域名，这四个域名分别是 yoz.io、facebook.com、ctyrittercism.com 和 Flurry.com。

研究显示APP窃取用户数据日益猖獗，连搜索记录都不放过

　　此次研究中的其他几款应用还会发送一些特殊的敏感信息。例如，追踪月经周期的名为 Period Tracker Lite 的应用程序就会向第三方域名 apsalar.com 上偷偷发送“失眠”等搜索记录相关信息，而由 Indeed.com 和 Snagajob 开发的求职应用则会将“护士”和“汽车修理师”等求职相关的搜索内容发送给四个第三方域名，这四个域名分别是 27.net、healthcaresource.com、google-analytics.com 和 scorecardresearch.com。

　　研究人员对这一现状给出的建议是，在应用提出需要自己填写个人信息时提供错误的数据，通过这种方式来保护自己的个人信息不被泄露。研究人员最后还表示，应该有一个强有力的监管系统来治理这一乱象，Google Play 和苹果 APP Store 等应用商店也应该明确标明应用程序的这类行为，从而更好地告知到用户。应用程序自身也应该加强自我管控力，重新设计语言，允许用户退出这种不合理的数据收集机制。

正文到此结束