很多人应该都用过“全能手电”这种iPhone手电筒应用,它能让iPhone的LED闪光灯射出稳定明亮的光束,当笔掉到黑暗的沙发下时,会很有用。但你也许没有意识到,下载了该应用后,可能将一堆数据拱手给了广告主。哪怕是一款手电筒应用,它都能要求一堆用户数据,访问日历、位置和摄像头等。得益于iPhone的隐私控制功能,用户能自主控制权限,但真相是,大部分人在跳出这类询问许可的警告时根本没有选择“否”。
美国联邦交易委员会(FTC)取缔了一家未通知消费者就擅自下载用户数据的手电筒应用,而且这些貌似无害的应用还只是问题的一小部分。在手机上,很多应用会要求可能并不需要的信息许可权,要知道在移动应用上,根本就没有所谓的免费应用。整个移动应用世界的隐私问题要比桌面计算机世界更黑暗,更麻烦。
“全能手电”应用由iHandy公司开发,不过该公司没有对隐私问题作出回复。不过一个名为Appthority的移动手机安全公司分析了“全能手电”应用可能要求的数据,结果相当可怕。
Appthority表示,“全能手电”能进行位置追踪,读取用户日历,使用摄像头以及访问识别用户手机的唯一标识符,然后将数据与众多广告网络共享,包括Google的AdMob、iAd和JumpTap。该应用可能没有做所有这些事情,Appthority的分析只显示了该应用可以做什么事情,但拥有如此多可疑用途的确让人生疑。
很难理解为什么一款手电筒应用需要追踪用户或查看用户日历。“所有这些东西都相当阴暗,应用内也集成了很多广告网络来共享数据。”
手电筒应用在数据泄露上名声很糟。FTC在去年追查了“Brightest Flashlight”应用的开发商,原因是该公司在与广告网络分享数据的方式上欺骗了用户。
根据分析,普通用户手机上至少有数款应用索求数据。一款模拟吉他和弦的音乐应用与广告网络分享数据。对该应用的代码分析发现,它可用于位置追踪或访问通讯录,尽管没有证据表明该应用正在做这两件事。
另一款有趣的应用名为Stack the States,它也与一个广告网络分享数据。但如果你花0.99美元购买付费版,所有追踪功能都消失无踪,它就成了一款没有隐私问题的好应用了。
现在的问题是,应用开发商们在与广告网络分享、销售数据上并不完全诚实。这一问题之所以麻烦,是因为手机上存储的数据与我们的联系更紧密也更持久,比如显示我们在哪居住、工作以及想要去哪的地理位置数据。
网站通过浏览器cookie追踪PC用户,而cookie能轻易抹除。但许多移动应用通过UDID(唯一设备标识符,相当于手机的序列号)或IMEI(国际移动识别码,移动网络用于识别订阅用户的唯一码)来追踪用户。
分析人士称,许多应用在没有说明原因的情况下要求手机的部分访问权。这类事情很常见,尤其是通过更新要求更多权限的应用。很多开发者可能没有通过应用下载或广告点击赚很多钱,所以觉得保险起见,要尽可能收集消费者数据。
好消息是,硬件制造商们似乎意识到了这一问题,并决定采取行动。苹果提供了可以方便控制应用可以使用哪些服务的选项。你可以进入设置->隐私->中打开或关闭应用。当这么做后,你会发现很多应用要求访问手机麦克风和位置服务的许可。
Google也为Android开发了名为App Opps的类似技术,但之后抛弃了该技术,声称因为可能损害安装在手机上的应用,所以不能发布。
对iOS用户来说,最好把手电筒应用都删除了,因为苹果在iOS 7时就加入了内置手电筒功能。
via wired