广告客户可能会违反Google的规定,正在收集可帮助他们摆脱Android隐私功能的信息。

安卓手机的后台应用程序(这些安卓应用程序一直在后台运行)(1)

有些应用可能会跟踪您的活动,即使您告诉他们忘记过去。你无能为力。

根据国际计算机科学研究所的研究,大约17,000个Android应用程序收集识别信息,这些信息可以在您的设备上创建活动的永久记录。研究人员说,数据收集似乎违反了搜索巨头收集数据的政策,这些数据可用于在大多数情况下针对用户进行广告宣传。

这些应用可以通过将您的广告ID(一种用于定制广告的独特但可重置的号码)与手机上难以或无法更改的其他标识符相关联来跟踪您。这些ID是设备的唯一签名:MAC地址,IMEI和Android ID。根据Google针对开发人员的最佳做法的建议,只有不到三分之一的收集标识符的应用只会使用广告ID 。

领导这项研究的Serge Egelman说,当应用程序收集这些持久性标识符时,“隐私就会消失”。他说,他的团队在9月向谷歌报告了调查结果,他们发现大多数应用程序都会向广告服务发送识别信息,这显然违反了谷歌的政策。

该公司的政策允许开发人员收集标识符,但禁止他们在未经用户明确同意的情况下将广告ID与硬件ID相结合,或者使用无法重置的标识符来定位广告。更重要的是,Google针对开发人员的最佳做法建议仅收集广告ID。

这种行为符合科技行业创建隐私措施的悠久历史,网站和应用程序开发人员很快学会绕过这些措施。例如,Adobe在2011年被迫解决Flash cookie问题之后,即使在您清除了所有Cookie之后,软件片段仍可在您的网络浏览器中存活。2014年,Verizon和AT&T使用所谓的“supercookies ”,出现了类似的投诉,这些投诉在多个设备上跟踪用户并且无法清除。2012年,微软指责谷歌绕过其P3P网络隐私标准,该标准允许Internet Explorer浏览器的用户设置他们对cookie的偏好。(谷歌反驳说标准不是'

由于智能手机和平板电脑的爆炸式增长,移动应用程序收集的数据引发了更广泛的审查。1月份,Facebook和谷歌都被发现使用开发者工具来规避Apple的隐私规则并构建收集用户信息的iOS应用程序。Facebook 在2018年发生的Cambridge Analytica丑闻和其他隐私争议引发了对如何收集和使用数据的更严格审查。(有关如何阻止应用程序获取数据的提示,请参阅此故事。)

Egelman的团队此前发现大约6,000个儿童应用程序不正确地收集数据,周四表示,成人的大牌应用程序正在向广告服务发送永久标识符。应用程序包括愤怒的智能手机游戏愤怒的小鸟经典,以及Audible和Flipboard的有声读物。Clean Master,Battery Doctor和Cheetah Keyboard,Cheetah Mobile开发的所有公用设施也被发现向广告网络发送永久信息。

所有这些应用程序都已安装在至少1亿台设备上。Clean Master是一款包含防病毒和电话优化服务的手机实用程序,已安装在10亿台设备上。

谷歌正在做什么

谷歌表示已经调查了Egelman的报告,并对一些应用程序采取了行动。它拒绝透露它采取了多少应用程序或采取了哪些措施,或者确定应用程序违反了哪些政策。该公司表示,其政策允许收集硬件标识符和Android ID用于某些目的,例如欺诈检测,但不用于广告定位。

谷歌还表示,只有当Android应用将标识符发送到谷歌自己的广告网络(如AdMob)时,它才能执行其政策。如果应用将数据发送到外部网络,Google表示无法监控他们是否存在违规行为。

“我们非常重视这些问题,”Google发言人在一份声明中表示。“严格禁止将广告ID与设备标识符结合使用以进行广告个性化。我们会不断审核应用程序 - 包括研究人员报告中列出的应用程序 - 并且会在不遵守我们的政策时采取措施。”

谷歌有许多旨在保护用户隐私和安全的举措。在周三的一篇博客文章中,该公司称其在2018年将其从Google Play商店中屏蔽的滥用应用程序数量增加了 55%。

开发“愤怒的小鸟”系列的Rovio和Audible的代表没有回应评论请求。

猎豹移动发言人在一封电子邮件中表示,其应用程序将设备的Android ID发送给一家公司,以帮助其跟踪其产品的安装。发言人表示,该信息不会用于定向广告,公司也会遵守所有相关的Google政策和法律。

他补充说,研究人员测试的Battery Doctor版本已经过时了; Cheetah Mobile在2018年更新了应用程序,不再收集IMEI。

Flipboard表示它不会使用Android ID进行广告定位。

Egelman和他的团队确定的数据收集类似于2015年优步与苹果公司陷入困境的问题。据“纽约时报”报道,苹果公司首席执行官蒂姆·库克非常愤怒地得知优步正在收集iOS用户对苹果的硬件标识符。策略并威胁要从App Store中删除Uber应用程序。

Egelman的团队测试了Android 6上的应用程序,也称为Marshmallow。根据10月份的谷歌分析,超过一半的Android设备运行Android 6或早期版本的系统。研究人员配置了一个Android版本,让他们跟踪应用程序收集的标识符,然后在修改后的软件上运行数千个应用程序。

Egelman表示,更改广告ID应该与清除网络浏览数据的功能相同。当您清除Cookie时,您过去访问过的网站将无法识别您。这会阻止他们随着时间的推移建立关于你的数据。

但是您无法重置其他标识符,例如MAC地址和IMEI。MAC地址是设备向Wi-Fi路由器等互联网连接广播的唯一标识符。IMEI是特定设备的标识符。这两种标识符有时可用于防止被盗手机访问蜂窝网络。Android ID是每个设备唯一的另一个标识符。它可以重置,但仅限于您对设备进行恢复出厂设置。

如果应用向其发送任何这些标识符的广告网络,则重置广告ID的次数无关紧要。他们仍然可以告诉你是你。

Saul Ewing Arnstein&Lehr的隐私和网络安全律师Sandy Bilus表示,这些应用程序可能违反了通用数据保护法规,这是一项欧盟法律,要求组织告诉用户他们收集了哪些数据,如果他们没有详细说明了他们向欧盟用户收集的内容。

“这肯定会引发GDPR问题,”Bilus说。“收集和使用这些数据的应用程序开发人员应该小心这一点。”

卡内基梅隆大学CyLab可用隐私和安全实验室主任Lorrie Faith Cranor表示,谷歌最有可能以违反其政策的方式打击使用硬件标识符和Android ID的应用程序。

,