研究:逾1.8萬款Android程式可建立裝置的活動紀錄

專門從事行動程式的安全暨隱私研究的AppCensus指出,已有超過1.8萬款的Android程式傳送了手機的永久識別符,以建立手機檔案並追蹤手機活動紀錄,嚴重侵犯了使用者的隱私。

研究人員Serge Egelman說明,過去許多廣告網路是透過裝置上的硬體來追蹤使用者的行動程式活動,包括手機序列號、IMEI、MAC位址或SIM卡序列號等永久識別符,或是基於軟體、但只能透過回復出廠預設重置的Android ID。例如A程式可能將手機的序列號傳送到一個廣告網路,當手機上的B程式傳送同樣的序列號到同一個廣告網路時,廣告網路就會知道該手機同時使用A跟B程式,並替手機建立檔案,藉此傳遞目標式廣告,且基於硬體的永久識別符,並無法如同網路版的Cookie被清除。

於是Google與蘋果在2013年於Android及iOS平臺上,建立了基於軟體的ad ID作為裝置的識別符,也允許使用者重置它,但假設一個程式同時傳送了ad ID與IMEI到廣告網路,同樣也會建立一個無法移除或重置的永久識別符(IMEI),因此不管是Google或蘋果,都禁止開發人員傳送ad ID時,搭配其它的永久識別符。

不過,根據AppCensus去年9月所進行的檢驗,約有2.4萬款程式會傳送ad ID,當中有1.7萬款除了傳送ad ID之外,還夾帶著其它的永久識別符,且不乏熱門程式,例如下載量超過10億的Clean Master及Subway Surfers,都會同時傳送ad ID與Android ID,還有下載量超過的5億的Flipboard、My Talking Tom或Temple Run 2,也都同時傳送ad ID與Android ID,違反了Google的開發者政策。而現在違反該規定的Android程式數量則已超過1.8萬款。

廣告網路利用這些永久識別符來進行目標式廣告,也用來追蹤使用者與廣告的互動。

Egelman表示,他們早在5個月以前就知會了Google,但一直未收到Google的回覆。不過,Google向CNET表示,他們嚴格禁止程式因廣告目的而同時傳送Ad ID與其它裝置識別符,將對此展開調查並採取行動。

原文來自 iThome Online