用戶拒授權無用!逾千Android程式 繞後門存取用戶資料

美國加州柏克萊大學(UC Berkeley)國際電腦科學研究所(International Computer Science Institute,ICSI)最近發表了一則研究報告,報告內容指稱有高達上千個安卓(Android)程式會繞過了平台的使用者許可機制,就算使用者拒絕授權,它們仍能取得用戶電話、裝置的識別碼、MAC位址或位置資訊。

即便用戶在App詢問提供資訊時選擇拒絕,這可能也不足以保護用戶資安,原因是已經取得權限的App可能會和其他App分享資料,或是這些App根本共用同一個資料儲存空間,就算其中一個App可能根本是惡意程式。不同App之間可能毫無關聯,但它們都使用了同一個軟體開發套件,這導致它們之間可以共享數據,也有證據指出軟體開發套件的擁有者能獲取這些資料。

柏克萊大學的研究團隊在聯邦貿易委員會舉辦的PrivacyCon中指出,大量Android程式違規取得用戶資料。(取自 ftc.gov)

研究團隊在美國聯邦貿易委員會(FTC)今年的隱私大會(PrivacyCon 2019)中發表研究報告,提到三星(Samsung)和迪士尼(Disney)的App都已經超過一億次下載,而它們都使用了中國搜尋引擎巨頭「百度」所建立的開發套件和第三方開發者協同平台「Salmonads」,在此一個架構下,只要有其中一個App獲得授權並將取得的資料儲存在本地裝置,就可能會有一些其他的App,利用這點偷偷地存取這些用戶原本拒絕提供的資料並移作他用。

研究團隊發現,除了這些利用系統漏洞抄旁路取得資訊的程式外,有些程式甚至會回傳從用戶的網路晶片和路由器取得的MAC位址、無線存取點(WAP)、無線網路名稱(SSID)等資料。

研究也指出照片分享平台「Shutterfly」會在未經許可下存取用戶照片的可交換圖檔格式資訊(EXIF),藉此追蹤定位並將GPS座標回傳到伺服器,但Shutterfly則表示否認並強調只會在得到許可的情況下才會蒐集這些資料。

Shutterfly標榜相片的分享與列印客製商品服務,卻傳出會在未經許可下回傳用戶資訊。(翻攝自Shutterfly.com)

這些問題大多會在最新的安卓作業系統「Android Q」中被解決,但研究團隊認為Google應該推出現階版本的更新檔來修正問題,不應該只有最新手機和系統的用戶才享受得到資安保護,ICSI此項研究項目的主管埃格爾曼(Serge Egelman)說,「Google不是公開宣稱隱私權不應該是奢侈品嗎?但以現在的這個情況,看起來就是。」