法国研究人员发现,安卓app确实在利用所获权限访问用户的个人信息。在最近的一项研究中,10名志愿者使用可追踪app行为的安卓手机。追踪行为是通过一款名叫Mobilitics的监控app实现的,由法国国家信息与自动化研究所(INRIA)与法国国家计算与自由委员会(CNIL)联合开发。当这款app访问个人数据(包括电话地理位置、标识符、照片、通讯信息等等)时,Mobilitics都会记录以便检查它们是否会将个人数据传送至外部服务器。这款app的个人信息使用日志都会存储在手机上并且在三个月之后被下载分析。志愿者们像平常那样使用手机并且从7月份到9月份共使用了121款app。
研究人员发现,许多app都会访问手机的特别特征以追踪用户。而用户只有为数不多的应对措施,即关掉安卓设置面板上的开关并重新设置手机的广告ID。但这个方法所起的作用有限,因为app还有识别用户的其他方法。在三个月中,几乎三分之二的手机至少访问了一部手机标识符,四分之一的手机访问了至少两个标识符,六分之一的手机访问了三个以上的标识符。这些标识符能够让app构建用户文件用于广告目的。
地理位置是访问频率最多的数据信息,在测试中占据所访问个人信息的30%,而在某些时候占据所研究app的30%。Facebook在三个月的时间里对一个志愿者的地理位置访问了150,000次,即平均不到1分钟访问1次;Google Play应用商店有时每分钟会访问10次。通常app会使用这些信息用于个人广告定制。而这些app所收集的信息是巨大的:有一款手机默认安装的app在一个月的时间里访问用户地理位置的次数达到100万次。
App构建一个完整的用户文件并不需要很多权限,一名INRIA研究人员表示,只要请求访问“Internet”及“Access_Wifi_State”(一个可通过Wi-Fi适配器MAC地址来识别手机,并且在全球范围内追踪手机的应用程序)即可。这款app甚至允许开发者通过发送用户连接WiFi网络的具体时间来构建出用户的社交网络并传送至中央服务器,并与其他手机进行比对以明确在相同时间的相同地点还有哪些人存在。
CNIL因此希望移动app及移动操作系统的开发人员明确产品所担负的责任,并且提供更多工具供用户管理个人隐私,而“从设计着手保护隐私”应该成为开发人员的设计理念,并且呼吁开发人员将app所需要收集的数据最少化。