据爆料, 应用商店里存在一千多款安卓(Android Q)App 一直在与第三方共享个人用户数据, 而且并没有征得用户的明确许可.
调查人员指出, App 开发人员利用了安卓系统中的一个漏洞, 来避开终端设备上的权限设置. 在美国联邦贸易委员会 (FTC) 举办的 PrivacyCon 大会, 上述漏洞曾被展示过.
调查发现, 此漏洞是通过软件开发工具包 (SDK) 展开的, 虽然该 SDK 为开发人员带去了方便, 但不幸的是, 该 SDK 竟然在用户授权之前允许 App 私自共享数据. 而甚至像迪斯尼这样的大公司也曾利用过这个漏洞.
研究人员表示, 终端的 Mac 地址和网络连接详细信息都会被共享出去, 此外即便没有 GPS 的情况下通过上述 SDK 也能精确定位用户的确切位置, 一些 App 甚至能直接共享 GPS 数据.
不过调查者认为, 即将推出的 Android Q 正式版或将能解决其中的一些问题. 届时发送的 Mac 地址将是随机的, 并且默认情况下, GPS 坐标也不会嵌入到照片中.
但是鉴于 Android 的碎片化, 加之各厂商的系统升级往往并不及时, 因此如果等到使用 Android Q 版本之时, 怕是还要有段不短的路要走.
来源: http://netsecurity.51cto.com/art/201907/599754.htm