2010年10月5日星期二

下載Android部分應用程式 手機私密資訊偷偷外流

Android手機受到歡迎,但玩家可能不知道,當下載應用程式時,手機內的GPS資料、手機號碼、聯絡人、IMEI(國際行動設備ID)號碼以及SIM卡序號等敏感資訊也可能被蒐集,分享給廣告商或分析伺服器,但並沒取得用戶同意。

據報導,英特爾實驗室、Duke大學與賓州州立大學研究員共同設計一套即時監控程式TaintDroid,再從Android Market挑選30個可存取手機重要資訊的應用程式,發現其中有15個會傳送使用者GPS資料給廣告伺服器,7個會傳送IMEI(國際行動設備辨識碼);有些連手機號碼與SIM卡序號都送出;各應用程式傳送資料的頻率不定,有時每30秒便會傳送GPS資訊給廣告伺服器。結論是,這30個應用程式中,總共有20個程式可能以68種方式侵犯使用者的隱私。

「Realtime Privacy Monitoring on Smartphones(智慧手機的即時隱私監控)」研究報告指出,當用戶下載Adnroid應用程式時,會看到有頁面會先告知該應用程式會存取哪些資料與資源,用戶必須選「OK」之後才能下載。但用戶並沒有被告知程式會如何使用這些資料,因此用戶面對的風險相當大。

報告強調,「第三方若有意蒐集敏感資料,則Android所提供的控制選項並不足以保護用戶。」賓州州立大學博士生William Enck說,「使用者目前只能在安裝時自求多福,多看一眼同意畫面的說明,其他就只能假設資料不會被亂用了」,「就像你上網站一樣,寧可保守一點,不要事後才後悔。」

報導指出,Android Market目前的程式數量超過7萬種,這次報告所列出測試的程式包括 MySpace、The Weather Channel、Solitaire、Coupons、BBC News Live Stream、Ringtones,以及 Spongebob Slide 遊戲等,William Enck說,研究「不是要用數量來證明整體程式的行為,而是作一個品質分析」。Google回應時則強調,用戶一定得先同意才能安裝,但若有疑慮也可隨時移除。

----------------------------------------------

這實際上也是大驚小怪啦,難道防毒軟體就不會將電腦端的軟硬體資料上傳,或是網路IP上傳作比對

當然也都會。手機上有一大部分的應用是做LBS (Location-Based Service)與使用者位置相關之

應用服務,那都一定要把GPS或是IP位置上傳。而實際上最簡單避免資訊外洩或是中讀的方法,不管是Android

或是一般PC上網,就是不安裝不明軟體,不上奇怪的網站。選擇網路上有在被討論的程式,大公司出的程式,

多半都不會有問題。再者,若真的要非法使用你的個人資料,也不用等到你手機來上傳,直接Hack到

電信公司的資料庫還是快一點。



KMSN 家庭網路安全防護中心 關心您家人的安全
KMSN 官方網址 :http://www.kmsn.com.tw
KMSN 部落格 :http://blog.kmsn.com.tw/
KMSN FACEBOOK 粉絲團 : http://www.facebook.com/kmsnbook

沒有留言:

搜尋此網誌

載入中…