Android Q可能有修复，但你什么时候能得到它？

（Alex Castro / The Verge的插图）

当你明确地告诉Android应用程序，“不，你没有权限来跟踪我的手机”，你可能认为它不具备继续跟踪你的能力。

但是研究人员表示，成千上万的应用程序已经找到了欺骗Android权限系统的方法，即将家中设备的唯一标识符和足够的数据打包，从而潜在地暴露您的位置。

即使你在一个应用程序想要查看当前位置时说“不”，这可能还不够：第二个拥有您已批准权限的应用程序可以与另一个应用程序共享这些位置或将它们保留在共享存储，其他应用程序，甚至可能是恶意应用程序也可以读取它。这两个应用程序似乎没有相关性，但研究人员表示，因为它们是使用相同的软件开发工具包（SDK）构建的，所以他们可以访问这些数据，并且有证据表明SDK所有者正在接收它。这就像一个孩子要求甜点被一位父母告知“不”，所以他们问另一位家长。

根据在PrivacyCon 2019上发表的一项研究，探讨的是三星和迪士尼等公司已被下载数亿次的应用程序。他们使用由中国搜索巨头百度和一家名为Salmonads的分析公司构建的SDK，它可以将您的数据存储在手机本地，然后从一个应用程序传递到另一个应用程序（以及他们的服务器）。研究人员发现，使用百度SDK的一些应用可能会试图悄悄地获取这些数据供自己使用。

除此之外，该团队还发现了许多侧漏道漏洞，其中一些漏洞可以将您的网络芯片和路由器，无线接入点，SSID等的唯一MAC地址发送回家。国际计算机科学研究所（ICSI）可用安全和隐私小组的研究主任塞尔格•埃格尔曼（Serge Egelman）在PrivacyCon上展示这项研究时表示，“现在它已经非常有名，因为它是位置数据的一个很好的替代品”。

该研究还挑选出照片应用程序Shutterfly的用于发送实际的GPS坐标回到它的服务器没有得到许可的跟踪位置，通过收集来自您的照片的EXIF元数据。但该公司否认它收集的数据私自在一份声明CNET。

根据研究人员的说法，Android Q中的一些问题有一些修复，他们说他们去年9月向谷歌通报了漏洞。（他们指向官方谷歌页面）。然而，这也许不能帮助众多无法获得Android Q更新的当代Android手机。（截至今年5月，只有10.4％的Android设备安装了最新的Android P，超过60％的设备仍在近三年的Android N上运行。）

研究人员认为谷歌应该做得更多，可能同时在安全更新中推出修补程序，因为它不应该只是获得保护的新手机买家。“谷歌公开声称隐私不应该是奢侈品，但这似乎就是这里发生的事情，”埃格尔曼说。

谷歌拒绝就具体漏洞发表评论，它向The Verge证实，Android Q默认会隐藏照片应用中的地理位置信息，并且需要照片应用告诉Play商店是否能够访问位置元数据。

原文链接

https://www.theverge.com/2019/7/8/20686514/android-covert-channel-permissions-data-collection-imei-ssid-location