Android App 的權(quán)限問題一直飽受詬病，許多人認(rèn)為這也是其無法與 iOS 平臺媲美的原因之一。日前研究人員發(fā)現(xiàn)，即便用戶拒絕授權(quán)相關(guān)權(quán)限，上千款 Android App 仍舊可以收集相關(guān)信息。谷歌稱在 Android Q 之前不會有解決方案。1你以為你拒絕了，其實(shí)你沒有

Android 應(yīng)用的授權(quán)問題一直爭議不斷：

“為什么手電筒要訪問我的通訊錄？”

“為什么一個 P 圖軟件要讀取我的短信記錄？”

“為什么導(dǎo)航軟件要訪問我的相冊？”

……

雖然這些授權(quán)請求非常無理，但按照 Android 的設(shè)計，你其實(shí)可以 Say No。比如手電筒應(yīng)用如果想要訪問通訊錄或通話記錄，你可以拒絕授予權(quán)取，通常并不影響你使用。但最近一項研究發(fā)現(xiàn)，即使你拒絕了授權(quán)申請，上千款 App 依舊可以收集你的各種信息。換句話說，“你以為你拒絕了，其實(shí)你沒有”。

這項研究凸顯了保護(hù)個人隱私的困難程度，當(dāng)你連上手機(jī)和 App 時，你的一切都無所遁形。科技公司們有著數(shù)以千萬計的海量數(shù)據(jù)，你去過哪里、和誰交朋友、對什么感興趣，都了解得一清二楚。

由信息泄露帶來的一系列操作養(yǎng)活了一個規(guī)模龐大的灰色產(chǎn)業(yè)鏈。在今年的“315 晚會”上，一條探針盒子 + 數(shù)據(jù)匹配 + 智能外呼機(jī)器人的灰色產(chǎn)業(yè)鏈遭到曝光。據(jù)報道，遭到曝光的智能外呼機(jī)器人一年可撥打騷擾電話 40 多億個，探針盒子公司收集有全國 6 億用戶的各類信息，令人觸目驚心。

這項研究調(diào)查了來自谷歌應(yīng)用商店的 8.8 萬多個 App，追蹤了這些應(yīng)用程序在被拒絕使用許可時數(shù)據(jù)是如何傳輸?shù)?，最終有超過 1300 多個 App 被抓。智能手機(jī)是敏感數(shù)據(jù)的金礦，而手機(jī) App 就像挖掘機(jī)一樣不斷地從你的設(shè)備上收集每一個可能的信息。你以為你拒絕了，其實(shí)你沒有。

2怎么做到的？

上周四，在美國聯(lián)邦貿(mào)易委員會 (Federal Trade Commission) 主辦的 PrivacyCon 大會上，研究人員們做了一期名為《50 Ways to Pour Your Data》的演講，在演講中，他們概述了 1300 多個 Android 應(yīng)用程序是如何收集用戶的精確地理位置數(shù)據(jù)和手機(jī)標(biāo)識符的，即使用戶明確拒絕了所需的權(quán)限。

為什么拒絕授權(quán)申請，仍能被這上千款 App 繞過限制收集設(shè)備的精確的地理位置數(shù)據(jù)和電話標(biāo)識符呢？研究人員發(fā)現(xiàn)，這些 App 利用旁路以及網(wǎng)絡(luò)系統(tǒng)調(diào)用的方式，獲取了這些用戶信息。

舉例來說，你允許照相機(jī)訪問地理位置數(shù)據(jù)，這是合理的；你拒絕一個應(yīng)用訪問地理位置數(shù)據(jù)，這也很正常。但你同時允許這個應(yīng)用訪問照相機(jī)，比如它的功能可能包括上傳照片。那么它可以定期拍攝照片，讀取照片上的位置信息，然后刪除。利用這種旁路方法它就知道了你的各種隱私信息。

在這 1300 多個 App 中，照片編輯 App Shutterfly 是其典型代表。其一直在從手機(jī)照片中收集 GPS 坐標(biāo)，并將這些數(shù)據(jù)發(fā)送到自己的服務(wù)器上，即使用戶拒絕允許該應(yīng)用訪問位置數(shù)據(jù)。除此之外，研究人員還發(fā)現(xiàn)了其他 13 個安裝超過 1700 萬次的 App 正在訪問手機(jī)的 IMEI。

從根本上說，消費(fèi)者并沒有多少工具和線索可以用來合理地控制自己的隱私，并據(jù)此做出決定。細(xì)想之下更令人擔(dān)憂的是，這 1300 多個 App 是通過審核上架于谷歌應(yīng)用商店的。而在谷歌全家桶無法使用的國內(nèi)，各大手機(jī)廠商各自的應(yīng)用商店本身就或多或少帶有一些不可言說的私心或問題，類似的 App 又有多少呢？

3谷歌：Android Q 將解決這個問題

去年 9 月，研究人員就向谷歌反饋了這個問題。谷歌向他的團(tuán)隊支付了一筆賞金，獎勵他們負(fù)責(zé)任地披露問題。谷歌表示，它將在 Android Q 中解決這些問題，預(yù)計 Android Q 將于今年發(fā)布。

谷歌稱，此次更新將通過向應(yīng)用程序隱藏照片中的位置信息來解決這一問題，并要求任何接入 Wi-Fi 的應(yīng)用程序也必須擁有獲取位置數(shù)據(jù)的權(quán)限。

在今年 5 月的 Google I/O 大會上，谷歌發(fā)布了 Android Q Beta 4 以及最終版 API。谷歌在 Android Q 上強(qiáng)調(diào)了三大主題：創(chuàng)新、安全和隱私以及數(shù)字福利。谷歌希望在幫助用戶充分利用最新技術(shù)（諸如 5G、可折疊屏幕、無邊框屏幕、設(shè)備端機(jī)器學(xué)習(xí)等）的同時始終優(yōu)先確保用戶的安全、隱私和福祉。

Android Q 關(guān)于隱私的提升具體有以下幾點(diǎn)：

限制剪貼板數(shù)據(jù)的訪問

應(yīng)用不在前臺運(yùn)行時，無法訪問操作系統(tǒng)的剪貼板數(shù)據(jù)。但如果應(yīng)用是默認(rèn)的輸入方法編輯器（IME，即默認(rèn)的鍵盤應(yīng)用），就可以在操作系統(tǒng)背景下訪問到剪貼板數(shù)據(jù)。

默認(rèn) MAC 地址會隨機(jī)化

谷歌在 Android 6.0 中采用了 MAC 地址隨機(jī)化。但只有在智能手機(jī)啟動后臺 Wi-Fi 或藍(lán)牙掃描的時候，設(shè)備才會播發(fā)隨機(jī)的 MAC 地址。Android Q 設(shè)備將默認(rèn)為所有通信發(fā)送隨機(jī)的 MAC 地址。盡管安全研究人員表示在使用隨機(jī) MAC 地址的情況下，他們也可以跟蹤設(shè)備。但該特性的支持，仍可以有效降低一些數(shù)據(jù)收集和用戶跟蹤操作的效率。

移除對網(wǎng)絡(luò)數(shù)據(jù)的輕松訪問

Android Q 將刪除可以提供設(shè)備網(wǎng)絡(luò)狀態(tài)狀態(tài)信息的 /proc/net 函數(shù)，而其他的選擇都是受權(quán)限保護(hù)的。這意味著“數(shù)據(jù)收割機(jī)”的免費(fèi)午餐已經(jīng)結(jié)束。

移除對設(shè)備詳細(xì)信息的輕松訪問

從 Android Q 開始，應(yīng)用開發(fā)人員在訪問設(shè)備 IMEI 和序列號之前，需要申請?zhí)厥庠S可。

通訊數(shù)據(jù)不排名

谷歌決定 Android Q 將停止追蹤通訊錄的聯(lián)系頻率。任何獲得訪問用戶通訊錄權(quán)限的應(yīng)用，都只能獲得沒有排序過的通訊錄。

對位置數(shù)據(jù)的更多控制

Android Q 中最酷的特性之一，可能就是位置數(shù)據(jù)訪問的新權(quán)限提示。下一個 Android 版本開始，用戶可以讓應(yīng)用隨時訪問位置數(shù)據(jù)，也可以讓應(yīng)用只能在運(yùn)行的時候訪問到位置數(shù)據(jù)。

遺憾的是，在 Android Q 正式發(fā)布區(qū)之前，只能建議用戶不要信任第三方應(yīng)用程序，并關(guān)閉那些實(shí)際上并不需要第三方應(yīng)用程序才能運(yùn)行的應(yīng)用程序的位置和 ID 權(quán)限設(shè)置。此外，卸載任何你不經(jīng)常使用的應(yīng)用程序。

Android Q 的正式發(fā)布日程目前并未確定，而國內(nèi)各大本地化 Android ROM 對于 Android 最新系統(tǒng)的適配又總是落在后面，讓人更加擔(dān)憂。

4結(jié)語

從行業(yè)的角度看，所有廠商都在盡一切可能地搜集用戶信息。哪怕是標(biāo)榜“你手機(jī)里的東西只會留在你的手機(jī)里”的蘋果，也出現(xiàn)了諸多隱私的負(fù)面新聞（但 iOS 平臺的隱私保護(hù)依舊無可匹敵）。

大數(shù)據(jù)時代，數(shù)據(jù)對商家變得越來越重要，但對數(shù)據(jù)的渴求和對用戶的隱私保護(hù)之間的這個度，是值得商討的。除了寄希望于移動操作平臺如 Android、iOS 等加強(qiáng)管控，用戶自己也更應(yīng)該多關(guān)注自己的隱私保護(hù)問題，不要再被認(rèn)定“中國人習(xí)慣于用隱私換便利”。也希望有關(guān)部門能加快對行業(yè)亂象的整治。