软件测试返回

bet比表面测试仪-不给权限也能收集数据,安卓难道是纸糊的吗?

编辑:android 更新时间:2021-04-08

安装在每个人手机上的各种应用可以说是他们的灵魂,各种应用的用户也可以实现各种功能。但是这些应用的开发者为了获取更多的利益,往往会想尽办法获取系统权限,以便收集用户数据。

几天前,国际计算机科学研究所(ICSI)的一份报告显示,在对谷歌Play商店88000多个应用程序的调查中,研究人员发现,多达1325个安卓应用程序正在从用户设备上收集数据,尽管他们的相关权限申请在安装过程中被明确拒绝。

什么!安卓的权限管理是徒劳的。bet比表面测试仪是在和全世界的消费者玩吗?也不尽然。我们之前已经介绍过,Android权限管理遵循的是“最小特权”原则,即APP应该只有最小的能力来执行其任务。

因此,如果一个APP想要访问其他文件、数据和相关资源,就必须在Android的Manifest.xml文件中声明。bet比表面积测试仪还在Android开发者页面中指定了4个系统权限——正常权限、危险权限、签名权限和系统签名权限。

正常权限是不会对用户隐私或设备造成很大风险的权限。需要用户明确授权的危险权限属于权限组。签名权限只对具有相同签名的应用开放,而系统签名权限主要应用于预制应用。所以开发者必须提前声明APP所需的权限,否则无法调用相应的系统资源。因此,如果用户拒绝给予这些权限,APP在正常情况下将无法获得相应的系统资源。

虽然不能正常做,但Android是一个庞大臃肿的生态系统。自然会出现一些不正常的现象,比如利用签名权限搭建“秘密通道”。ICSI的研究人员在报告中指出,假设应用A获得了IMEI许可,但应用B被拒绝,那么在签署许可机制的情况下,应用A将能够合法地向应用B传输IMEI数据.

建立这个秘密通道的方法有很多。目前,这1325个应用程序中经常使用“共享内存”或共享内存机制。既然是“分享”,那你的不就是我的,我的不就是你的吗?因此,一些应用程序可以收集敏感信息,包括网络芯片型号、MAC地址、SSID、IMEI号等。

其他的像照片编辑应用Shutterfly。作为一个照片编辑应用程序,Shutterfly仍然可以从照片中收集EXIF信息,并向服务器发送GPS坐标,即使用户拒绝应用程序访问位置数据。这种方法确实完美的避免了bet比表面测试仪的权限管理,但是也可以收集用户的数据信息,显然是无法防范的。

巧合的是,在今年《华盛顿邮报》进行的一个实验中,iPhone连接到一个监测bet比表面积的测试仪上,然后在其中发现了近5400个跟踪程序。这些追踪程序可以利用苹果的“后台刷新功能”,将手机的相关用户数据发送给Demdex等第三方数据分析公司。

对于开发商来说,出去做生意不是好生意。当普通用户在技术水平上无法相互竞争时,就不得不依靠平台和监管机构的努力。不幸的是,bet比表面测试仪的响应缓慢而微弱。ICSI研究人员表示,有些问题只有在等待即将到来的安卓Q之后才会得到解决,而不是每月例行的安全补丁更新,这意味着大量被原始设备制造商和bet特定表面测试人员忽视的旧型号将永远暴露在这种隐私风险之下。

幸运的是,今年春天,中央网办、工信部、公安部、市场监管总局等部门联合开展了对APP非法采集和使用个人信息的安全性评估,并发布了《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》,将具体解决App强制授权、过度维权、个人信息超范围采集等问题。也就是说,未来在国内市场,APP在请求许可方面会受到法律法规的监管。

[此图来自网络]

推荐阅读

腾讯《吃鸡》游戏还是借壳实现,《绝地求生》复活《和平精英》

英特尔出华为和高通。5G的领导者是谁

当转角遇到高德,美团出租车的“聚合模式”能走多远

从摩尔定律出发:技术预测、商业广告还是谎言?

《复仇者联盟》是如何拯救好莱坞并摧毁它的