各类APP是否在监听首个大规模实证的研究结论
文章转自公众号:数据安全与取证
我们之前经常看到和听到,说许多应用商店的APP会监听用户的生活,通过获得权限并在用户不知情的情况下收集隐私信息并回传。例如:麦克风会经常偷偷开着,听到你和周边人的谈话;或者,在没有征兆的情况下截屏,从而知道你正在浏览的信息,等等。
还记得今年百度面临的起诉事件么,江苏省消费者保护向百度公司提起民事诉讼,指控百度旗下APP涉嫌“监听电话、定位”。
但这些都只是新闻,并没有实实在在的根据,更别谈技术层面了,究竟APP是否真的在监听?到底还能不能用了!?
上周,Wendy总算看到了拿数据和技术来研究这事儿的论文,这就来和大家分享。
没时间看细节的亲们,我们直接看三大结论:
研究结论:
1. 大量的APP确实会直接要求获取多媒体等权限;
2. 虽然拿到了许多非必须的权限,有监听的条件,但大多数APP却并没有把它们真正派上用场;
3. 这些APP真正的风险在于会滥用这些权限的第三方。
这篇论文是美国西北大学和加州大学一同采集数据所做的分析研究,可以说是目前第一个如此大规模采集数据所做的针对多媒体权限和泄漏问题的研究。
▍研究样本
为了保证研究结果的代表性,他们随机从Google Play、AppChina、Mi、Anzhi中选取了17260个受欢迎的APP进行调查统计。
▍分析方法
此次研究,他们采用了多种方法,如静态数据分析,动态测试等等,从内部权限状态到与外部的网络连接情况都有记录,还有APP的流量分析等等。
▍研究方向
1. 有哪些APP会要求获取麦克风或相机权限,以及如何获取的;
2. 有哪些APP内含有的代码API需要链接多媒体的(即需要音频API、相机API或截屏API);
3. 以上的API,如果有的话,是由APP开发者编写的,还是来自于APP内嵌入的第三方程序库。
▍结果
分析结果还是很有些收获的,我们来看一张表:
可以看出,大多数的APP确实会获取麦克风、相机、截屏和外接存储的权限,但实际上这些权限却并没有被APP应用给利用起来。
在这 17260 个APP中,只发现有21个APP会记录下通过权限获得的多媒体数据并通过网络发出去。
另外,还有2112个APP会泄漏数据,不过原因并非是主动获取权限导致的,而是因为信息都是以HTTP明文传输,或因为代码错误导致的截屏上传。
下图便是那 21个APP的信息
总的来说,在此次研究对象中,数据泄漏的APP还是占少数,而像通过麦克风偷偷录音或相机偷拍再上传的证据倒是没有。
虽说很庆幸,但危险还是存在的!
关于这一点,之前少有人注意过。
研究者发现,许多APP内所采用的第三方代码可能会造成数据泄漏,APP获取的权限也有可能为其所用。
要知道,为了让APP能实现多样化的功能,很多应用开发者会采用第三方的代码,而他们自己经常对这些代码都不了解。研究者通过分析代码,根据签名确认了163个代码库,并做了进一步的分析,如下图例:
也就是说,即便APP获取了权限而没有使用,但其内嵌的第三方同样能使用这些权限,那么用户的隐私将被间接泄漏出去。也就是说,第三方能够根据用户数据量身开发新的软件同时又不需要直接获得用户的同意!
其实,从成本和效率上来说,通过语音数据和图像的记录、传输和保存工作成本巨大,“性价比”超低;但从技术上来看,却是可以做得到的,因此其风险不容忽视。
如此“越界”的APP,拿了不用,自然是为了尽可能获取更多的用户数据。所谓“得数据者得天下”。一些App开发者“不管有用没用,拿到权限再说”的做法,其根本目的,是为了积累自己的大数据资源,这无论对商品和服务的精准推送、广告投放,还是软件改进来说,都是至关重要的。
更深层次看,对于很多贴着科技标签的互联网企业来说,收集用户的各种信息,在市场上抢占先机,不仅是做生意的核心竞争力,更是在资本市场上讲故事的先决条件。
如果看到数据背后超越营销功能的价值,或许就不难理解一些App为何会去过度索取消费者的权限,尽一切可能收集用户信息了。
所以,即便“监听APP”在如今是少数,但不该给的权限还是不能给,提高用户隐私保护的意识最重要!