研究指出 Android程式不用權限也能讀取位置資訊

柏克萊大學國際電腦科學研究所ICSI和AppCensus的聯合研究指出，一家公司檢查應用程式從用戶收集的資訊，發現有1,325個android應用程式可以收集位置資訊，和android裝置的唯一識別碼像是手機的IMEI。而且即使用戶沒有授權，這些應用程式仍可以收集資訊。這項調查結果是在上個月底，於美國聯邦交易委員會（Federal Trade Commissions,FTC）的PrivacyCon上公佈。總共有70個app，包括照片編輯軟體 Shutterfly，都被發現透過用戶拍攝的照片，收集地理位置資訊，並將數據發送到自己的服務器。這些app能夠繞過android權限，並透過Wi-Fi連線和存取儲存在照片裡的中繼資料，來收集用戶的數據。另外有13個android的應用程式，包括百度的香港迪士尼樂園app，都被發現可以查看儲存在SD卡文件夾裡的隱藏文件。這些app能夠存取他們沒有權限的數據，因為這些數據儲存在文件夾裡。研究人員還指出其他153個app包括三星的Health還有瀏覽器都能這樣存取資料。該報告指出，三個智慧遙控app也會透過連接用戶的Wi-Fi，並存取路由器的MAC位址來獲取位置資訊。Google告訴網站CNet會在更新的系統Android Q裡解決這些問題。ICSI的可用安全與隱私研究主任Serge Egelman，在美國聯邦交易委員會上表示，消費者很少有工具可以控制或決定要分享隱私。他表示「如果程式開發人員可以繞過系統，那麼就算軟體要求消費者許可，其實相對來說根本毫無意義」這項研究調查了Google Play商店中，超過88,000個Android應用程式。根據CNet的報導，Egelman將在8月份Usenix安全研討會上發表研究，屆時也會發表詳細資訊，以及1,325個Android應用程式的名單。