安卓内置API接口被滥用的最新案例:开发商普遍读取用户已安装应用列表

蓝点网 03月26日

在隐私与安全保护方面安卓系统可能并不如其他操作系统,尽管谷歌不断地在改进但仍然无法更安全的保护用户。同时原本为安卓设计的许多接口被广告商和软件开发商滥用,这些接口原本用途是好的但却变成损害用户的途径

例如谷歌为安卓系统的辅助操作功能目的是方面视力障碍用户使用的,但某些应用却用该功能来推送和点击广告。目前谷歌已经制止软件开发商滥用安卓系统的辅助操作功能,遗憾的是还有许多接口遭到滥用但谷歌并没有处理。

软件开发商和广告商总是知道你安装了哪些APP:

日前由来自瑞士、意大利和荷兰的四名学者组成的研究团队公布了令人惊讶的事实:你安装哪些应用都会被泄露。具体来说你安装的任意软件都可以读取你已经安装的所有软件,而且这还是利用安卓系统内置的接口完成读取的。

谷歌最初在安卓里提供这个接口的目的是,让应用可以读取用户已安装的应用程序,然后可以检测兼容性问题等。例如安装的新软件检测到特定的不兼容软件时则可以发出提醒,毫无疑问原本该设计初衷是开发者和用户考虑的。

但现在几乎没有什么软件会存在兼容性问题,而利用该接口的都是开发商和广告商然后用来分析用户的兴趣偏好。这样可以推送更加精准的广告提高广告点击率和广告收入,显然对于消费者们来说这可能会泄露自己的隐私信息。

读取无需用户同意可能泄露大量隐私:

研究人员表示任何开发商调用该接口都不需要用户同意,也就是可以在后台静默读取消费者安装了哪些应用程序。有的软件开发商并未读取已安装应用列表,但内置的第三方广告工具也可以读取,开发商并不知道广告商这么干。

分析发现有的广告商会基于用户已安装应用列表创建指纹信息,利用这种指纹持久追踪用户持续分析用户偏好等。广告商可以根据用户应用列表来推断用户的性别、口语、宗教信仰、年龄段、行业、兴趣爱好等多种不同的信息。但谷歌并未提供禁用该接口的选项因此用户压根不知道,就算知道也不能阻止任何应用读取已经安装的应用列表。

广告商的动作远比开发商要多:

研究团队在分析谷歌商店排名靠前的应用程序后发现,许多应用程序本身并没有调用该接口,但内置组件有调用。这类组件绝大多数都是广告组件,这些组件调用的权限非常多,有的开发者都不知道存在读取应用列表这种情况。

例如研究团队向某热门应用程序的开发者提交反馈后,这名开发者表示他们并没有使用这个接口也不知道被调用。这名开发者还表示若是第三方工具包调用接口的他会立即删除这个工具包,这名开发者本身并不准备使用该接口。

此外分析还发现开源软件调用该接口的比例极低,而热门商业性软件里调用该接口的比例比个人开发者的多许多。

    阅读原文

    + 关注

    + 订阅

    阅读:1514

    4

    扫描二维码推荐公众号

    微信公众号