沒有授權，Android App 也能獲取你的許可權

Play Trick or Treat！

不給許可權就搗亂！

整理 | 屠敏

出品 | CSDN（ID：CSDNnews）

一直以來，無論是 Android 還是 iOS 用戶都有一種困擾，即每次下載並打開一款新的 App 時，各種獲取不同許可權的界面接踵而至。而作為用戶只有兩種選擇，一種是同意將通訊錄、麥克風、位置等許可權授權給 App，繼續使用 App 為我們帶來的各種服務；另一種則是點擊「不同意」，那麼後果就是直接退出該 App，無法繼續使用。

如今在經過大數據時代的洗禮，這種現象在 Android 系統層面中愈發泛濫，甚至根據最新的調查顯示，當 Android 用戶明確拒絕授權相關許可權之後，App 竟然仍可以收集到位置等關鍵個人隱私信息。而這究竟是怎麼一回事？且為何越來越多的 App 想要獲得用戶手機的各種許可權？未經用戶許可就掌控用戶隱私的這個鍋究竟是該 App 開發商來背，還是坐擁全球第一大 Android 操作系統的 Google 來扛？

多達 1325 款 Android 應用未經許可收集用戶數據

按常理來看，Android App 的許可權開放與否決定著你的數據是否給 App 開發商。作為用戶，如果不想要正在使用的 App 讀取如通話記錄、簡訊、位置等信息，可以拒絕授權。

不過近日，據國際計算機科學研究所（ICSI）的研究人員調查顯示，在觀察了來自 Google Play Store 中 8.8 萬多個應用之後，他們發現當用戶拒絕給 App 一些許可權時，依然有超過 1,000 個 App 繞過許可權控制，獲取到用戶精確的地理位置數據和手機序列號等個人隱私信息。

這一發現直接揭示了大數據時代，用戶想要保護個人隱私並非一件易事。雖然監管部門正試圖通過隱私監管來改善現狀，而且設置應用許可這一提醒功能也可以讓用戶自由選擇可公開哪些數據，與此同時，如蘋果、Google 等科技巨頭們也已發布了新的功能來改善用戶隱私，但是如今很多 App 無孔不入，一直在尋找隱蔽的方法來繞過層層監管或授權。

對此，ICSI 可用安全和隱私研究主任 Serge Egelman 評價道，「從根本上說，消費者很少有工具和線索可以用來合理控制他們的隱私並做出決定，」同時，他認為「如果應用程序開發者繞過系統，那麼向消費者尋求許可是毫無意義的。」

那麼是否有好的方法去解決或降低這一問題的發生？Egelman 表示，其實早在去年 9 月，就有研究人員向 Google、FTC 等企業和委員會通報了這些問題。Google 對此回應道，其將解決 Android Q（Android 10.0）的問題，不過該操作系統預計將於今年發布。具體的舉措是，是在 Android Q 中將通過隱藏照片應用中的位置信息來解決問題，並要求任何訪問 Wi-Fi 的應用必須向用戶發出請求的許可，才可以獲取相關的位置數據。

百度、迪士尼、三星被點名！

在違反 Android 許可權的 1,325 個 App 中，大多是使用了隱藏在其代碼中的變通方法，該代碼將從 Wi-Fi 連接和照片中存儲的元數據等來源獲取個人數據。

其中，研究人員發現，一款名為 Shutterfly 的照片編輯 App，它一直在從照片中收集 GPS 坐標並將數據回執到自己的伺服器，即使用戶拒絕授予 App 訪問位置數據的許可權也無濟於事。

對此，Shutterfly 發言人表示，儘管研究人員發現，但公司只會在明確允許的情況下收集位置數據。「像許多照片服務一樣，Shutterfly 使用這些數據來增強用戶體驗，例如分類和個性化產品建議，所有這些都符合 Shutterfly 的隱私政策以及 Android 開發者協議。」

另外，還有一些 App 依賴其他被授予查看個人數據許可權的應用程序來訪問並收集諸如 IMEI 碼之類的手機序列號。這些應用程序將讀取設備 SD 卡上未受保護的文件，並收集他們無權訪問的數據。因此，如果用戶讓其他 App 訪問個人數據，並將其存儲在 SD 卡上的文件夾中，某些間諜應用就可以獲取該信息。

最終，據研究人員稱，經過調查發現，只有大約 13 個應用程序這樣做，但它們的安裝次數超過了 1700 萬次。而這些應用中包括了百度的香港迪士尼樂園應用程序等。截止目前，百度和迪士尼沒有回應相關置評請求。

除此之外，研究人員還發現，有 153 個具有此功能的 App，包括三星的健康和瀏覽器 App，而這些應用程序安裝在超過 5 億台設備上。對此，三星也沒有回複評論請求。

App 為何索要用戶許可權？

對此，我們不禁好奇，為何現在越來越多的 App 不給許可權就無法使用？這樣看似民主卻又存在強制的手段到底為哪般？

追根溯源，其實最初授予 App 許可權，只是開發者是為了用戶提供定製化體驗的一種舉措。譬如使得第三方 App 獲取位置信息，那麼像打車、外賣、天氣、新聞等 App 可本地化提供更加直接快捷的服務。

但是隨著智能手機的普及、物聯網設備的不斷增多，呈噴井式爆發的數據成為各大公司一筆寶貴的財富。而在這之下，一些簡訊廣告之類的黑產業務也因此浮出水面。對此，《人民日報》曾刊文稱，有網友發現，多款 App 在沒有明確提示的情況下加入社交屬性。還有網友在使用某款手機時發現，打開部分 App 會導致手機的攝像頭升降、以及被提示正在錄音。如何管好越了界的 App，保護用戶的隱私信息安全，是亟待解決的一道現實考題。

越了界的 App 該怎麼辦？

最終誰該為越了界的 App 負責？其實，想要依靠監管部門的監管，只能扼制住 App 生態衰敗的速度，但是解決不了根本。更多的是需要 App 開發商，以及 Android 和 iOS 的擁有者 Google 與蘋果公司從根源上動刀。

對此，知乎上不少開發者也發表了自己的看法（https://www.zhihu.com/question/50630373），其紛紛表示：

@查無此人：

還是開發者更任性，寧可失去用戶，也不願意讓用戶「使用但無法通過 IMEI 做統計。」

@黯月夢殤：

還是生態環境的問題，從公司出的商業化產品出於各種需求，開發者在這裡是沒有話語權的。用戶就是躺槍的。

@陸洪濤：

這個的確是 Google 的鍋。不過其實我還是不想給應用獲取讀取 IMEI 等看似無害的許可權，畢竟影響匿名性，所以必要時還是用 XPrivacy。

@C Hero：

根源在 Android 許可權分太細了，開發友好，但對用戶端提示太籠統，太頻繁。比如敏感的 Phone 許可權，可能 App 只想讀 IMEI，並不代表讀你的通話。蘋果這方面做的比較好，不敏感的不提示，敏感的簡單明了。

App 許可權申請也是自身功能設計和隱私的權衡，比如 Camera 許可權，那是為了掃一掃。在意這個其實比較痛苦，實際的隱私大頭真不在這上面。介意的話，Android 第三方隱私和許可權軟體豐富的很，隨便裝個不就得了。

針對這一問題，你怎麼看？歡迎下方留言分享你的看法。

參考：

https://www.cnet.com/news/more-than-1000-android-apps-harvest-your-data-even-after-you-deny-permissions/

【End】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！