当我们在安卓手机中禁止掉某APP的位置权限后,大家一定会理所当然的觉得该应用监测不到我们的位置了,但是研究人员表示,成千上万的应用程序已经找到了欺骗Android权限管理的方法,这些应用会悄悄将手机的唯一标识码和足够的定位数据发送到自己的服务器,以此来实现对用户的定位。
这些应用是如何获取到定位数据的呢?研究人员表示,虽然我们对某一应用禁止了定位权限,但是该应用可以去向其他已被授权获取位置信息的应用索要位置信息,某些应用程序甚至直接将所获取到的位置信息保存在共享存储区,导致其他应用可以直接读取,甚至是恶意程序也可读取到。有时这两个应用程序可能毫无关联性,但为何他们能商量好共享位置信息呢?研究人员表示,这是因为他们使用了相同的软件开发工具包(SDK)构建的,所以他们有一套自己的规则去共享位置信息,另外有证据表明SDK所有者正在接收这些应用所获得的定位。
根据在PrivacyCon 2019上发表的一项研究表明,一家名为Salmonads的公司开发的SDK开发工具包,他首先将用户数据存储在本地,然后将用户的数据从一个应用分享给另一个应用程序(以及他们的服务器)。
除此之外,该团队还发现了许多侧信道漏洞,其中一些漏洞可以将用户网卡的MAC地址、路由器接入点、SSID等一些唯一的标识码发送至自己的服务器。国际计算机科学研究所(ICSI)安全和隐私小组的研究主任塞尔格·埃格尔曼(Serge Egelman)在PrivacyCon上展示这项研究时表示,“这些唯一标识码是位置数据的一个很好的替代品”这些数据可以间接用于实现定位。
根据相关研究人员的说法,他们已于去年9月向谷歌通报了此漏洞,该问题将在Android Q 中有所修复。然而这可能对大部分无法获得Android Q 更新的设备毫无帮助。(截至今年5月,只有10.4%的Android设备安装了最新的Android P,超过60%的设备仍在近三年的Android N上运行。)
研究人员认为谷歌应该做得更多些,同时在安全更新中推出修补程序,因为它不应该只是保护新手机买家而置老用户于不顾。“谷歌公开声称隐私不应该是奢侈品,但这似乎就是这里发生的事情,”埃格尔曼说。
谷歌拒绝就具体漏洞发表评论,但它向The Verge证实,Android Q默认会隐藏照片应用中的地理位置信息。(责任编辑:Kensin)
关注蓝点网头条号不迷路,Windows 10、科技资讯、软件工具、技术教程,尽在蓝点网。蓝点网,给你感兴趣的内容!感谢打赏支持!
,
