【獵雲網(微信號:ilieyun)】2月18日報導 (編譯:Henry)
據國際計算機科學研究所聯合CNET的調查研究,一些手機應用在用戶刪除歷史記錄後仍舊會保留用戶的操作記錄,而用戶則難以擺脫這種應用程式的不斷「跟蹤」。
調查指出,大約有17000個安卓應用程式會不斷收集用戶的操作信息,並且在用戶的設備上永久保留這些歷史信息。研究人員說,一些搜索巨頭通常會用這些數據對用戶進行針對性的廣告宣傳,而這些應用的數據收集行為已經違反了相關政策。
這些應用可以通過將用戶的廣告ID(一種用於定製廣告的編號)與手機上難以或無法更改的其他標識符相關聯,以跟蹤用戶。這些標識符往往是安卓設備的獨有信息,比如MAC地址,IMEI和Android ID。其中,只使用廣告ID的應用少於這些應用總數的三分之一,而只使用廣告ID則是Google對於安卓應用開發人員的最佳建議。
領導這項研究的Serge Egelman說,當應用程式收集這些持久性標識符時用戶便毫無隱私可言。他說,他們發現大多數應用程式都會向廣告服務發送識別信息,這顯然違反了谷歌的政策,而他的團隊則在9月向谷歌報告了調查結果。
谷歌的政策允許開發人員收集這些,但禁止他們在未經用戶明確同意的情況下將廣告ID與硬體標識符相關聯,或者使用無法重置的標識符來定位廣告。更重要的是,Google對安卓應用開發人員的最佳建議是僅收集廣告ID。
在科技行業建立用戶隱私保護措施的悠久歷史中,網站和應用程式開發人員很快便學會繞過這一政策。例如,2011年Adobe受到用戶投訴稱,即使在他們清除了所有Cookie之後,一些記錄仍可在用戶的瀏覽器中保留,之後Adobe被迫解決Flash cookie問題。2014年,Verizon和AT&T使用所謂的「supercookies」,結果出現了類似的問題,用戶控訴說這些cookie在多個設備上不斷跟蹤用戶並且無法清除。2012年,微軟指責谷歌繞過其P3P網絡隱私標準,而谷歌反駁說該標準不再有效(該標準允許Internet Explorer瀏覽器的用戶對他們cookie自行進行設置。)
由於智慧型手機和平板電腦的爆炸式增長,行動應用程式收集的數據行為引發了更廣泛的審查。 1月份,Facebook和谷歌都被曝光使用開發者工具來規避Apple的隱私規則以構建收集用戶信息的iOS應用程式。Facebook在2018年發生的劍橋分析醜聞和其他隱私爭議引發了對如何收集和使用數據的更嚴格的審查。
Egelman的團隊此前還發現大約6,000個非法收集數據的兒童應用程式,他們周四表示,成人的大牌應用程式也正在向廣告服務發送永久標識符。這些應用程式包括時下流行的智慧型手機遊戲——憤怒的小鳥,以及Audible和Flipboard的有聲讀物應用。Clean Master,Battery Doctor和Cheetah Keyboard,Cheetah Mobile開發的所有應用程式也被發現存在向廣告網絡發送永久標識符的行為。
所有這些應用程式都已至少在1億臺設備上安裝過。其中的Clean Master是一款包含防病毒和電話優化服務的手機實用應用,安裝該應用的設備已達10億臺。
谷歌對此的回應
谷歌表示已經研究過了Egelman團隊提供的報告,並對一些應用程式採取了行動。它拒絕透露它已經對多少應用程式採取了怎樣的措施,且並未指出這些應用程式違反了哪些政策。谷歌還表示,其政策允許收集硬體標識符和Android ID用於例如反欺詐等目的,但不用於定向廣告。
谷歌還表示,只有當Android應用將標識符發送到谷歌自己的廣告網絡(如AdMob)時,其政策才會起效。如果應用將數據發送到外部網絡,他們則表示無法監控他們是否存在違規行為。
Google發言人在一份聲明中表示:「我們非常重視這些問題,而且我們嚴格禁止開發者將廣告ID與設備標識符關聯使用以進行針對性的廣告宣傳。我們會不斷審核應用程式,當然包括研究人員報告中列出的應用程式,並且會在這些應用程式不遵守我們的政策時對其採取相應措施。」
谷歌先前已採取了有許多保護用戶隱私和安全的舉措。在周三的一篇博客文章中,谷歌稱其2018年在Google Play商店中屏蔽的濫用應用數量比去年增加了55%。
開發「憤怒的小鳥」系列的Rovio和Audible的代表們並未對此作出回應。
Cheetah Mobile的發言人在一封電子郵件中表示,其應用程式將設備的Android ID發送給一家公司,以幫助其跟蹤其產品的安裝。發言人表示,該信息不會用於定向廣告,公司也會遵守所有相關的Google政策和法律。
他補充說,研究人員測試的Battery Doctor應用版本已經過時了; Cheetah Mobile在2018年已經更新了應用程式,不再收集IMEI。
Flipboard也表示他們不會使用Android ID進行定向廣告。
Egelman和他的團隊報告的數據收集問題,類似於2015年優步與蘋果公司出現的問題。據「紐約時報」報導,當時蘋果公司執行長蒂姆·庫克非常憤怒地得知優步正違反規定,收集iOS用戶的蘋果硬體標識符,並警告他們要從App Store中刪除Uber應用程式。
Egelman的團隊對Android 6.0上的應用程式進行了測試(Android 6.0也稱為Marshmallow)。根據谷歌10月份的分析調查,超過一半的Android設備正運行Android 6.0或更老版本的系統。研究人員專門配置了一個Android 6.0系統,以追蹤應用程式收集的標識符,然後在這個修改後的系統上運行了數千個應用程式。
Egelman表示,更改廣告ID應該與清除網絡瀏覽數據的功能相同。當用戶清除Cookie時,他們過去訪問過的網站應該無法識別用戶。這樣才會阻止他們不斷收集儲存用戶的個人數據。
但是用戶無法重置設備的其他標識符,例如MAC地址和IMEI。MAC地址是設備向Wi-Fi路由器等網際網路連接器提供的獨有標識符。IMEI是特定設備的標識符。這兩種標識符有時可用於阻止被盜手機訪問蜂窩網絡。Android ID是每個設備獨有的另一個標識符。它只有在用戶對設備進行恢復出廠設置時才會被重置。
如果應用向廣告方發送了這些標識符中的任何一個,那麼無論用戶重置廣告ID多少次都已經沒用了,廣告方仍然可以通過這些識別符來識別用戶。
Saul Ewing Arnstein&Lehr的隱私和網絡安全律師Sandy Bilus表示,這些應用程式可能違反了通用數據保護法,這是一項歐盟法律,它要求應用運營方在未進行詳細說明時,告訴用戶他們收集了哪些數據。
Bilus說:「這肯定會引發GDPR(《一般數據保護條例》)問題。收集和使用這些數據的應用程式開發人員應該當心這一點。」
卡內基梅隆大學CyLab的可用隱私和安全實驗室主任Lorrie Faith Cranor表示,谷歌正處於打擊違規使用硬體標識符和Android ID的應用程式的最佳階段。
Cranor說,雖然說大多數用戶仍未意識到這個隱私問題,但開發人員正在為廣告ID構建重置方法這一事實表明,許多人也有重置ID的需求。