Android App 的權(quán)限問(wèn)題一直飽受詬病，許多人認(rèn)為這也是其無(wú)法與 iOS 平臺(tái)媲美的原因之一。日前研究人員發(fā)現(xiàn)，即便用戶拒絕授權(quán)相關(guān)權(quán)限，上千款 Android App 仍舊可以收集相關(guān)信息。谷歌稱在 Android Q 之前不會(huì)有解決方案。1你以為你拒絕了，其實(shí)你沒(méi)有

Android 應(yīng)用的授權(quán)問(wèn)題一直爭(zhēng)議不斷：

“為什么手電筒要訪問(wèn)我的通訊錄？”

“為什么一個(gè) P 圖軟件要讀取我的短信記錄？”

“為什么導(dǎo)航軟件要訪問(wèn)我的相冊(cè)？”

……

雖然這些授權(quán)請(qǐng)求非常無(wú)理，但按照 Android 的設(shè)計(jì)，你其實(shí)可以 Say No。比如手電筒應(yīng)用如果想要訪問(wèn)通訊錄或通話記錄，你可以拒絕授予權(quán)取，通常并不影響你使用。但最近一項(xiàng)研究發(fā)現(xiàn)，即使你拒絕了授權(quán)申請(qǐng)，上千款 App 依舊可以收集你的各種信息。換句話說(shuō)，“你以為你拒絕了，其實(shí)你沒(méi)有”。

這項(xiàng)研究凸顯了保護(hù)個(gè)人隱私的困難程度，當(dāng)你連上手機(jī)和 App 時(shí)，你的一切都無(wú)所遁形。科技公司們有著數(shù)以千萬(wàn)計(jì)的海量數(shù)據(jù)，你去過(guò)哪里、和誰(shuí)交朋友、對(duì)什么感興趣，都了解得一清二楚。

由信息泄露帶來(lái)的一系列操作養(yǎng)活了一個(gè)規(guī)模龐大的灰色產(chǎn)業(yè)鏈。在今年的“315 晚會(huì)”上，一條探針盒子 + 數(shù)據(jù)匹配 + 智能外呼機(jī)器人的灰色產(chǎn)業(yè)鏈遭到曝光。據(jù)報(bào)道，遭到曝光的智能外呼機(jī)器人一年可撥打騷擾電話 40 多億個(gè)，探針盒子公司收集有全國(guó) 6 億用戶的各類信息，令人觸目驚心。

這項(xiàng)研究調(diào)查了來(lái)自谷歌應(yīng)用商店的 8.8 萬(wàn)多個(gè) App，追蹤了這些應(yīng)用程序在被拒絕使用許可時(shí)數(shù)據(jù)是如何傳輸?shù)?，最終有超過(guò) 1300 多個(gè) App 被抓。智能手機(jī)是敏感數(shù)據(jù)的金礦，而手機(jī) App 就像挖掘機(jī)一樣不斷地從你的設(shè)備上收集每一個(gè)可能的信息。你以為你拒絕了，其實(shí)你沒(méi)有。

2怎么做到的？

上周四，在美國(guó)聯(lián)邦貿(mào)易委員會(huì) (Federal Trade Commission) 主辦的 PrivacyCon 大會(huì)上，研究人員們做了一期名為《50 Ways to Pour Your Data》的演講，在演講中，他們概述了 1300 多個(gè) Android 應(yīng)用程序是如何收集用戶的精確地理位置數(shù)據(jù)和手機(jī)標(biāo)識(shí)符的，即使用戶明確拒絕了所需的權(quán)限。

為什么拒絕授權(quán)申請(qǐng)，仍能被這上千款 App 繞過(guò)限制收集設(shè)備的精確的地理位置數(shù)據(jù)和電話標(biāo)識(shí)符呢？研究人員發(fā)現(xiàn)，這些 App 利用旁路以及網(wǎng)絡(luò)系統(tǒng)調(diào)用的方式，獲取了這些用戶信息。

舉例來(lái)說(shuō)，你允許照相機(jī)訪問(wèn)地理位置數(shù)據(jù)，這是合理的；你拒絕一個(gè)應(yīng)用訪問(wèn)地理位置數(shù)據(jù)，這也很正常。但你同時(shí)允許這個(gè)應(yīng)用訪問(wèn)照相機(jī)，比如它的功能可能包括上傳照片。那么它可以定期拍攝照片，讀取照片上的位置信息，然后刪除。利用這種旁路方法它就知道了你的各種隱私信息。

在這 1300 多個(gè) App 中，照片編輯 App Shutterfly 是其典型代表。其一直在從手機(jī)照片中收集 GPS 坐標(biāo)，并將這些數(shù)據(jù)發(fā)送到自己的服務(wù)器上，即使用戶拒絕允許該應(yīng)用訪問(wèn)位置數(shù)據(jù)。除此之外，研究人員還發(fā)現(xiàn)了其他 13 個(gè)安裝超過(guò) 1700 萬(wàn)次的 App 正在訪問(wèn)手機(jī)的 IMEI。

從根本上說(shuō)，消費(fèi)者并沒(méi)有多少工具和線索可以用來(lái)合理地控制自己的隱私，并據(jù)此做出決定。細(xì)想之下更令人擔(dān)憂的是，這 1300 多個(gè) App 是通過(guò)審核上架于谷歌應(yīng)用商店的。而在谷歌全家桶無(wú)法使用的國(guó)內(nèi)，各大手機(jī)廠商各自的應(yīng)用商店本身就或多或少帶有一些不可言說(shuō)的私心或問(wèn)題，類似的 App 又有多少呢？

3谷歌：Android Q 將解決這個(gè)問(wèn)題

去年 9 月，研究人員就向谷歌反饋了這個(gè)問(wèn)題。谷歌向他的團(tuán)隊(duì)支付了一筆賞金，獎(jiǎng)勵(lì)他們負(fù)責(zé)任地披露問(wèn)題。谷歌表示，它將在 Android Q 中解決這些問(wèn)題，預(yù)計(jì) Android Q 將于今年發(fā)布。

谷歌稱，此次更新將通過(guò)向應(yīng)用程序隱藏照片中的位置信息來(lái)解決這一問(wèn)題，并要求任何接入 Wi-Fi 的應(yīng)用程序也必須擁有獲取位置數(shù)據(jù)的權(quán)限。

在今年 5 月的 Google I/O 大會(huì)上，谷歌發(fā)布了 Android Q Beta 4 以及最終版 API。谷歌在 Android Q 上強(qiáng)調(diào)了三大主題：創(chuàng)新、安全和隱私以及數(shù)字福利。谷歌希望在幫助用戶充分利用最新技術(shù)（諸如 5G、可折疊屏幕、無(wú)邊框屏幕、設(shè)備端機(jī)器學(xué)習(xí)等）的同時(shí)始終優(yōu)先確保用戶的安全、隱私和福祉。

Android Q 關(guān)于隱私的提升具體有以下幾點(diǎn)：

限制剪貼板數(shù)據(jù)的訪問(wèn)

應(yīng)用不在前臺(tái)運(yùn)行時(shí)，無(wú)法訪問(wèn)操作系統(tǒng)的剪貼板數(shù)據(jù)。但如果應(yīng)用是默認(rèn)的輸入方法編輯器（IME，即默認(rèn)的鍵盤應(yīng)用），就可以在操作系統(tǒng)背景下訪問(wèn)到剪貼板數(shù)據(jù)。

默認(rèn) MAC 地址會(huì)隨機(jī)化

谷歌在 Android 6.0 中采用了 MAC 地址隨機(jī)化。但只有在智能手機(jī)啟動(dòng)后臺(tái) Wi-Fi 或藍(lán)牙掃描的時(shí)候，設(shè)備才會(huì)播發(fā)隨機(jī)的 MAC 地址。Android Q 設(shè)備將默認(rèn)為所有通信發(fā)送隨機(jī)的 MAC 地址。盡管安全研究人員表示在使用隨機(jī) MAC 地址的情況下，他們也可以跟蹤設(shè)備。但該特性的支持，仍可以有效降低一些數(shù)據(jù)收集和用戶跟蹤操作的效率。

移除對(duì)網(wǎng)絡(luò)數(shù)據(jù)的輕松訪問(wèn)

Android Q 將刪除可以提供設(shè)備網(wǎng)絡(luò)狀態(tài)狀態(tài)信息的 /proc/net 函數(shù)，而其他的選擇都是受權(quán)限保護(hù)的。這意味著“數(shù)據(jù)收割機(jī)”的免費(fèi)午餐已經(jīng)結(jié)束。

移除對(duì)設(shè)備詳細(xì)信息的輕松訪問(wèn)

從 Android Q 開(kāi)始，應(yīng)用開(kāi)發(fā)人員在訪問(wèn)設(shè)備 IMEI 和序列號(hào)之前，需要申請(qǐng)?zhí)厥庠S可。

通訊數(shù)據(jù)不排名

谷歌決定 Android Q 將停止追蹤通訊錄的聯(lián)系頻率。任何獲得訪問(wèn)用戶通訊錄權(quán)限的應(yīng)用，都只能獲得沒(méi)有排序過(guò)的通訊錄。

對(duì)位置數(shù)據(jù)的更多控制

Android Q 中最酷的特性之一，可能就是位置數(shù)據(jù)訪問(wèn)的新權(quán)限提示。下一個(gè) Android 版本開(kāi)始，用戶可以讓應(yīng)用隨時(shí)訪問(wèn)位置數(shù)據(jù)，也可以讓應(yīng)用只能在運(yùn)行的時(shí)候訪問(wèn)到位置數(shù)據(jù)。

遺憾的是，在 Android Q 正式發(fā)布區(qū)之前，只能建議用戶不要信任第三方應(yīng)用程序，并關(guān)閉那些實(shí)際上并不需要第三方應(yīng)用程序才能運(yùn)行的應(yīng)用程序的位置和 ID 權(quán)限設(shè)置。此外，卸載任何你不經(jīng)常使用的應(yīng)用程序。

Android Q 的正式發(fā)布日程目前并未確定，而國(guó)內(nèi)各大本地化 Android ROM 對(duì)于 Android 最新系統(tǒng)的適配又總是落在后面，讓人更加擔(dān)憂。

4結(jié)語(yǔ)

從行業(yè)的角度看，所有廠商都在盡一切可能地搜集用戶信息。哪怕是標(biāo)榜“你手機(jī)里的東西只會(huì)留在你的手機(jī)里”的蘋果，也出現(xiàn)了諸多隱私的負(fù)面新聞（但 iOS 平臺(tái)的隱私保護(hù)依舊無(wú)可匹敵）。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)對(duì)商家變得越來(lái)越重要，但對(duì)數(shù)據(jù)的渴求和對(duì)用戶的隱私保護(hù)之間的這個(gè)度，是值得商討的。除了寄希望于移動(dòng)操作平臺(tái)如 Android、iOS 等加強(qiáng)管控，用戶自己也更應(yīng)該多關(guān)注自己的隱私保護(hù)問(wèn)題，不要再被認(rèn)定“中國(guó)人習(xí)慣于用隱私換便利”。也希望有關(guān)部門能加快對(duì)行業(yè)亂象的整治。