如今大众普通智能手机上平均有60到90个应用。这些应用程序中的大多数都会请求获取用户的设备的某些信息。他们可能想知道你的姓名,电子邮件地址或真实地址。但是,由于智能手机功能如此强大,它们也能获得更多功能,例如你的确切位置。有些应用甚至会请求设备相机或麦克风的访问权。
虽然所有这些都是在用户“同意”的情况下完成的,但你仍然可能会对某些应用的个人数据访问权限感到惊讶。据赛门铁克调查,45%最受欢迎的Android应用和25%最受欢迎的iOS应用都请求跟踪实时位置,46%的流行Android应用程序和25%的流行iOS应用程序请求获取访问设备相机的权限,有些Android应用甚至会要求用户授权他们访问您的短信和电话记录。
为了找出应用可能需要的数据类型,赛门铁克将最受欢迎的应用数据用于测试。他们下载并分析了2018年5月3日在谷歌应用商店和苹果应用商店上列出的排名前100的免费应用程序。研究人员针对各应用程序展开的调查主要围绕两个核心问题:用户与应用程序共享了多少个人信息,以及应用程序访问了哪些智能手机功能?
首先得到的是应用程序请求用户与他们共享的个人身份信息(PII)的数量。电子邮件地址是与应用共享的最常见的PII部分,这部分信息与48%的iOS应用和44%的Android应用分享。PII的下一个最常见的部分是用户名(通常是某人的全名,因为他们已经在社交网站或应用程序中输入了该用户名),这些用户与33%的iOS应用和30%的Android应用共享。与此同时,电话号码与12%的iOS应用和9%的Android应用共享。最后,用户的地址与4%的iOS应用和5%的Android应用共享。
然而,这些统计信息并未完全考虑与应用共享的全部PII数量。
多个应用程序与社交媒体集成,以便用户可以使用他们的社交媒体帐户登录应用程序,并允许该应用程序直接发布到社交网站。对于用户而言,这意味着他们不需要为每个应用程序管理密码,可以邀请朋友玩手机游戏,以及在他们的时间线上共享应用信息。
但这种共生关系还允许应用程序从社交媒体帐户收集用户数据,同时还允许社交媒体服务从应用程序收集数据。对于使用社交媒体集成的iOS应用程序,我们能够看到正在共享的PII。但是,Android应用程序却并非如此。这是因为这些应用程序都使用了Facebook广泛使用的图形应用程序编程接口(API),而Android版本的图形使用的是证书固定,这使得我们无法看到正在共享的PII。
因此,当我们说电子邮件地址与44%的Android应用程序共享时,这个实际数字可能更高,因为一些Android应用程序使用Facebook Graph API,这也可能与他们共享一个电子邮件地址。
Facebook Graph可能对部分人来说很熟悉,因为剑桥分析公司使用它来编译与8700万Facebook用户相关的个人信息。据报道,这些信息随后用于2016年美国总统竞选期间面向选民的有针对性的社交媒体活动。Facebook通过大幅收紧其API并限制可通过它共享的个人信息量来应对此事件。
虽然Facebook Graph可能是最知名的集成服务,但它并不是使用最广泛的。在赛门铁克分析的应用程序中,47%的Android应用程序和29%的iOS应用程序提供了谷歌集成服务,而41%的Android应用程序和26%的iOS应用程序提供了Facebook Graph API服务。
除个人信息外,应用还需要获得访问移动设备上各种功能的权限。
应用可以请求大量权限,但并非所有权限都相同。出于这个原因,研究人员仔细研究了我们所说的“风险权限”——可以提供对涉及用户私人信息的数据或资源的访问权限,或者可能潜在地影响用户的存储数据或其他应用程序操作的权限。风险权限的示例包括访问用户的位置,联系人,SMS消息,电话日志,相机或日历。
研究者发现摄像头访问是最常请求的常见风险授权,46%的Android应用程序和25%的iOS应用程序均发出了获取请求。紧随其后的是位置跟踪,45%的Android应用程序和25%的iOS应用程序都在索求该权限。百分之二十五的Android应用程序请求录制音频的权限,而9%的iOS应用程序执行此操作。最后,15%的Android应用程序寻求读取短信的权限,10%的人试图访问电话通话记录。这些权限都不适用于iOS。
有趣的是,在同时分析安卓和iOS版本应用程序的情况下,一些安卓应用程序要求的权限比iOS版本更危险。7个Android应用程序请求访问SMS消息,而iOS版本则没有。一个Android应用程序请求访问电话通话记录,而iOS版本没有。虽然这两个权限在iOS中都不可用,但它确实提出了一个问题:为什么Android版本需要这些权限,而iOS版本可以不需要它们。
在谈论风险权限时我们应该强调两件事。首先,它们需要用户的许可才能访问此数据。其次,仅仅因为我们称他们有风险的权限并不意味着他们不应该被授予。如前所述,通常有需要它们存在的原因。相反,他们应该被视为权限,用户应该更加谨慎地授予,询问自己该应用是否确实需要此权限,以及他们是否愿意将其授予此特定应用。例如,你是否真的想让应用访问您的通话和短信只是为了提供个性化提醒?
扫一扫或点击进入“上海奥航智能科技有限公司”官网:www.aohsmart.com 扫一扫或点击进入“中国移动安全信息网”:cn-mobi.com
免责声明:本文仅代表作者个人观点,与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。