2013年4月10日午間訊息,法國計算與自由委員會(以下簡稱“CNIL”)的最新研究報告發現,手機應用並未嚴格遵守規定,即使是在沒有必要的情況下,也經常獲取使用者的隱私資料,並將其傳送到遠端伺服器中,而使用者卻缺乏足夠的工具來監控這一過程。
收集資料
CNIL在6部iPhone上安裝了法國電腦科學研究和控制學會(以下簡稱“INRIA”)開發的監控軟體和分析工具,對189款應用的行為進行了研究。CNIL主席伊莎貝爾·法爾奎-佩隆迪(Isabelle Falque-Pierrotin)週二表示,此次研究的目標是更好地理解應用究竟會以何種方式使用隱私資料,並不針對任何特定的開發者。
CNIL並未在實驗室環境中測試應用,而是在實際使用過程中展開研究:他們要求6名志願者在手機中插入自己的SIM卡,然後在去年10月中旬至今年1月中旬間按照自己的意願使用手機。其中一名志願者下載了將近100款應用,另外一名只下載了5款。
這些應用中,有1/12會訪問使用者的通訊錄,大約有1/3會獲取使用者的定位資訊。此次研究過程中,使用者平均每天會被追蹤76次地理位置。簽到應用Foursquare和蘋果自己的地圖應用對地理資訊的追蹤最為頻繁。但考慮到這兩款應用的目的,這一結果完全可以理解。位居其次的則是本地搜尋應用AroundMe和蘋果的攝像頭應用。
還有1/6的應用訪問過iPhone的名稱。此舉令研究人員大為不解,因為這類資訊幾乎沒有任何意義,而且也無法當做裝置的唯一標示符使用。不過,這類內容中通常會包含使用者的名字,因此同樣被視為個人身份資訊。
Facebook應用很少訪問這類隱私資訊。不過,研究人員表示,這主要是因為Facebook沒有必要獲取這類資訊,因為使用者此前已經將各種資訊都登記在該服務中。
此次研究中被應用訪問次數最多的是iPhone的UDID,也就是與手機永久關聯的串號。大約有半數應用訪問過這一資料,其中有1/3會以未加密的方式通過網際網路傳送該資訊。有一款報紙應用在研究期間訪問過UDID 1989次,向起發行商傳送過614次。
應對措施
CNIL發言人展示了一款設定工具,可以限制應用對各類資訊的訪問許可權。蘋果尚未收到這款工具,但INRIA表示,如果該公司感興趣,他們可以為其提供程式碼。
iPhone使用者幾乎無法瞭解他們的應用會訪問哪些資訊或系統功能,而Google Play商店雖然可以展示這類資料,但只能選擇接受或不接受,無法進行調整。舊版黑莓作業系統允許使用者自由選擇允許一款應用使用的API(應用程式設計介面),但卻有可能導致應用崩潰。在黑莓10中,只能針對原生應用進行細緻調整,如果是從Android平臺移植來的應用,同樣只能選擇接受或不接受。
蘋果已經採取了一些措施,為使用者提供更大的控制權。在iOS 5中,使用者可以單獨阻止特定應用獲取自己的地理位置。iOS 6又新增了一個選項,禁止開發者使用UDID確定使用者身份併傳送定向廣告。
蘋果在iOS 6中為開發者提供了廣告識別符號(Advertising Identifier)幫助其投放廣告。但這種識別符號不會與手機或個人永久關聯,使用者可以自行更改設定。
不過,本次研究中並未使用這一選項,出於技術原因,他們本次使用的系統為iOS 5。下一階段的研究則會使用iOS 6。INRIA已經升級了監控工具,以適應這款新的作業系統。
為了監控應用對隱私資訊的訪問情況,INRIA對iPhone進行了越獄,並安裝了特殊的應用來攔截應用獲取隱私資訊時使用的API。研究人員此次之所以選擇iPhone,是因為他們對iOS的開發已經非常熟悉,但目前也在為Android手機開發類似的功能。
INRIA和CNIL剛剛對此次研究中的資料展開了初步研究:他們此間共收集到9GB的資料,涵蓋700萬次隱私事件。
不過,某些隱私資料獲取行為只是意外。例如,有一款應用在尋找附近的游泳池時獲取了超出必要水平的資料。但CNIL的研究人員表示,這一問題顯然源於程式故障。