很多谷歌的Android手机软件写的不足时,用户的隐私和安全。
这些都是来自宾夕法尼亚州立大学的研究人员的结论和北卡罗莱纳州立大学看了看前1100名免费的应用程序可以在安卓市场。他们没有发现任何恶意的,但是数量惊人的程序使用独特的标识符,如手机的IMEI(国际移动设备身份)数,有时从用户没有获得允许这样做。
人们的一个担忧是,这些独特的标识符可以与Android用户数据库,本质上提供了一个隐形的方法来追踪网上手机用户在做什么,类似于跟踪cookie存储在Web浏览器。与跟踪cookie,手机的IMEI不能删除。
研究遵循了由相同的研究人员所作的一些工作去年看了看30智能手机应用程序,发现广泛的共享位置数据和惟一标识符。
研究人员现在才开始放在一起的照片怎么回事表面下与这些手机应用,威廉Enck说,北卡州立大学的助理教授,这项研究的作者之一。“我认为人们开始变得更加意识到这个,但我不认为有广泛的理解的影响是什么,”他说。
“纸真的扩大了我们的理解在Android应用程序在做什么....与我们的数据和他们在做什么,”Lee Tien说电子前沿基金会的律师。
EFF担心这些独特的标识符可以用于跟踪消费者的在线活动,但Tien在这项研究中,确实发现了一些令人鼓舞的发现。“我很高兴看到,似乎没有任何明显的滥用的音频视频录制的听力能力之类的东西。”
Enck和他的科学家们建立了一个程序,把Android手机上运行的Java字节码,然后反编译它,将它转化为人类能更容易地观察和理解。总体而言,研究人员分析了2100万行代码。这项工作的大部分是由电脑但是Enck的团队经常会和手动检查软件,似乎很有趣。
“我们分析发现普遍使用/滥用个人/电话标识符和深层渗透的广告和分析网络,”说,本周提出的Usenix安全研讨会在旧金山。
研究人员称他们的工作“初步但不是最终Android应用程序的安全。”
这种分析的问题之一,虽然它可以显示程序能够做什么,这并不能证明Android应用程序实际上是在其基础上利用新功能时手机上运行。
当然,也有发现是有趣的。超过22%的宾夕法尼亚州立大学研究者们研究的应用程序可以发送惟一标识符——通常IMEI标识符——通过网络。
虽然有些时候程序员可能会想真的想利用这些独特的标识符,帮助警察定位一个偷来的手机,例如,他们可以很容易被滥用,这可能会导致严重的安全问题说凯文•Mahaffey首席技术官与手机安全软件生产商注意。“任何时候你有一个惟一的标识符……人们倾向于使用各种疯狂的目的,特别是对身份验证”。
Verizon是其中一个公司使用IMEI认证,M.J.基斯说安全研究员牛仔集团在圣安东尼奥,德克萨斯州。只需要一个IMEI和电话号码为了访问Verizon手机用户的门户在一次采访中,他说。
“你可以用它来重置门户密码,”他说。“你可以接管整个帐户,更改帐单地址。你可以有一个电话运往你。”
上个月,注意报道称,其中一个应用程序开发人员引用——Callmejack助长了全球超过80的Android壁纸应用程序收集这种类型的数据,将其发送给服务器。
Mahaffey认为,许多开发人员重用被其他开发人员编写的代码,这常常会发生这种类型的数据收集软件制造商甚至没有意识到这是怎么回事。“它让开发人员在一个有趣的地方,如果他们使用不透明的第三方代码,”他说。“如果他们不知道跟踪,很难让他们告诉用户它。”
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com