研究稱上萬款安卓應用違規收集用戶資訊 谷歌終於坐不住了

騰訊科技訊 據外媒報導，有些應用程式會隨著時間的推移跟蹤你的活動，即使你要求它們刪除過往資訊，而且你對此無能為力。

據國際電腦科學研究所(International Computer ScienceInstitute)向科技媒體CNet展示的一項研究顯示，大約17000個Android應用程式會收集標識資訊，創建你的設備活動的永久記錄。研究人員說，這些數據收集似乎違反了谷歌關於收集數據的政策，在大多數情況下，這些數據可以用來針對用戶進行廣告宣傳。

這些應用程式可以通過將廣告ID(一個用於定製廣告的獨特但可重置的號碼)與手機上其他難以更改或不可能更改的標識符相鏈接來跟蹤你。這些標識符是設備的唯一簽名：MAC地址、國際移動電話設備識別碼（IMEI）和Android ID。只有不到三分之一收集標識符的應用會像谷歌建議的那樣隻使用廣告ID。

這項研究的帶頭人塞爾日·埃格爾曼(Serge Egelman)說，當應用程式收集這些永久標識時，“隱私就消失了”。他說，他的團隊在去年9月份向谷歌報告了這一發現，觀察到大多數應用程式向廣告服務發送識別資訊，這明顯違反了谷歌的政策。

該公司的政策允許開發人員收集標識符，但禁止它們在未經用戶明確同意的情況下將廣告ID與硬體ID相結合，或者禁止使用無法重置的標識符來定位廣告。此外，谷歌的政策建議開發者隻收集廣告ID。

這種行為在科技行業擁有悠久的歷史：雖然制定了隱私措施，但網站和應用程式開發人員很快就學會了繞過這些措施。例如，Adobe在2011年被迫解決Flash的cookie緩存問題，此前用戶抱怨稱，即使在清除了所有cookie後，Flash片段仍然會存在於瀏覽器中。2014年，對於運營商Verizon和AT&T使用所謂的“超級Cookie”也出現了類似的抱怨，這些所謂的“超級cookie”在多台設備上跟蹤用戶，且無法清除。2012年，微軟指責谷歌規避其P3P網絡隱私標準，該標準允許IE瀏覽器用戶設定他們對cookie的偏好。(谷歌反駁說，這個標準當時已經不再有用)。

由於智能手機和平板電腦的激增，移動應用程式收集的數據引發了更廣泛的審查。今年1月，Facebook和谷歌都被發現使用一種開發工具來規避蘋果的隱私規則，並開發收集用戶資訊的iOS應用。2018年Facebook的劍橋分析(Cambridge Analytica)醜聞和其他隱私爭議引發了對數據收集和使用方式的更嚴格審查。

埃格爾曼的團隊此前曾發現約6000款兒童應用程式不當收集數據。該團隊周四表示，許多面向成年人的大牌應用也在向廣告服務部門發送永久標識。這些應用包括流行智能手機遊戲《憤怒的小鳥經典版》，Audiobooks公司的Audiobooks，以及Flipboard。獵豹移動公司的清理大師、電池醫生和獵豹輸入法，也被發現向廣告網絡發送永久性資訊。

所有這些應用程式都已安裝在至少1億台設備上。包含防病毒和電話優化功能的工具應用獵豹清理大師已安裝在10億台設備上。

谷歌的行動

谷歌表示，已經對埃格爾曼的報告進行了調查，並對一些應用程式采取了行動。該公司拒絕透露對多少應用程式采取了行動，也沒有說明采取了什麽行動，或者這些應用程式違反了哪些政策。該公司表示，其政策允許收集硬體標識符和Android ID，來用於欺詐檢查等某些目的，但不允許用於定向廣告。

谷歌還表示，只有當Android應用程式將標識符發送到谷歌自己的廣告網絡(如AdMob)時，它才能執行自己的政策。如果應用程式將數據發送到外部網絡，谷歌便無法監控它們的違規行為。

谷歌發言人在一份聲明中表示：“我們非常認真地對待這些問題。我們嚴禁將廣告ID與設備標識符結合用於個性化廣告。我們一直在審查應用程式——包括這份研究報告中列出的應用——並將在它們不符合我們的政策時采取行動。”

谷歌有許多旨在保護用戶隱私和安全的舉措。在周三的一篇部落格文章中，該公司表示，2018年，它在谷歌Play商店屏蔽的違規應用數量增加了55%。

《憤怒的小鳥》開發商Rovio和Audible的代表沒有回復記者的置評請求。

獵豹移動的一位發言人在電子郵件中表示，該公司的應用程式向一家公司發送設備的Android ID，以幫助該公司跟蹤其產品的安裝情況。這位發言人說，這些資訊沒有被用於定向廣告，而且該公司遵守所有相關的谷歌政策和法律。

他補充說，研究人員測試的電池醫生版本已經過時；獵豹移動公司在2018年更新了這款應用，不再收集IMEI。

Flipboard說，它不使用Android ID進行廣告定位。

埃格爾曼團隊發現的數據收集行為與2015年Uber在iOS上遇到的問題類似。據《紐約時報》當時報導，蘋果首席執行官蒂姆·庫克(Tim Cook)在得知Uber違反蘋果的政策收集iOS用戶的硬體標識符後十分憤怒，並威脅要從App Store中刪除Uber應用。

埃格爾曼的團隊在Android 6作業系統上測試了這些應用。根據谷歌去年10月份的一項分析，超過一半的安卓設備運行Android 6或更早版本的系統。

埃格爾曼說，改變廣告ID應該能起到與清除你的網頁瀏覽數據相同的作用。當你清除cookie時，你過去訪問的網站將不會認出你。這樣他們就不能隨著時間的推移建立起關於你的數據了。

但是你不能重置其他標識符，如MAC地址和IMEI。這兩個標識符有時可用於防止被盜電話訪問蜂窩網絡。Android ID是每個設備唯一的另一個標識符。它可以重置，但只有在你將設備恢復到出廠重置時才能重置。

如果應用程式向廣告網絡發送這些標識符中的任何一個，無論你多少次重置廣告ID都無關緊要。他們還是能分辨出是你。

Saul Ewing Arnstein & Lehr律師事務所的隱私和網絡安全律師桑迪·比勒斯(Sandy Bilus)表示，這些應用程式可能違反了歐盟最新的“通用數據保護條例”(General Data Protection Regulations)，該條例要求公司向用戶報告它們收集的數據。

“這肯定會引發GDPR問題，”比勒斯說。“收集和使用這些數據的應用開發商應該小心這一點。”

卡內基梅隆大學的洛裡·費思·克拉諾(Lorrie Faith Cranor)表示，谷歌最有能力打擊違規收集硬體標識符和Android ID的應用。

克拉諾說，應用開發商正在為廣告ID創建變通方法，這表明許多人正在重新設定標識符，即使大多數用戶不知道這種隱私功能。

“要不然，應用開發商為什麽要費這個心呢？”她說。（騰訊科技審校/昔夏）