应用暗藏代码,数百万安卓设备可能秘密窥探用户-阿里云开发者社区

开发者社区> 开发与运维> 正文

应用暗藏代码,数百万安卓设备可能秘密窥探用户

简介:

5月8日消息,据《财富》网站报道,研究人员认为,一些流行的智能手机可能会过于紧密地监听用户的活动。

来自德国布伦瑞克工业大学(TUBS)的一个研究团队发现,有234款Android应用包含了被称为SilverPush的代码,用于监听嵌入在网络媒体内容中或由信标发射的超声波信号。虽然这些应用主要目的是跟踪用户的媒体消费和购物习惯,以帮助精准投放广告,但该研究团队指出,这些应用也可能被用于跨多款设备建立用户身份,跟踪用户的位置,甚至能让使用比特币的服务和匿名网络Tor等服务实名化。

在这些被检测到的应用中,下载量最多的一些应用不会将这些功能通知用户。

研究人员在报告中写道:“设备跟踪是对用户隐私的严重威胁,因为它能够窥探用户的习惯和活动。”最近的做法是将超声波信标嵌入到音频中,并利用移动设备的麦克风来跟踪它们,这个侧面通道允许开发者识别用户当前的位置,监视用户的电视观看习惯,或者将用户的不同移动设备连接在一起。”

他们补充说:“我们的研究结果证实了我们对隐私问题的担忧:我们在各种网络内容中发现了超声波信标,在欧洲两个城市的35家商店中,有4家商店检测到用于跟踪位置的信号。虽然我们在7个国家的电视数据流中没有找到超声波信标,但我们发现234款Android应用在设备后台不断监听超声波信标,而这是在用户不知情的情况下进行的。”

研究人员通过将已知的SilverPush代码与130万款应用的数据库进行比较,来发现这些应用。他们发现包含SilverPush代码的应用,包括来自菲律宾麦当劳和Krispy Kreme的应用,每款应用均被大约50万Android用户安装。Krispy Kreme是美国大型甜甜圈连锁品牌。其它包含SilverPush代码的应用主要针对印度和菲律宾的用户,有些应用的下载量多达500万。研究人员发现,随着时间的推移,使用SilverPush代码的应用出现激增,从2015年12月的39款增加至今年1月的234款。

在欧洲,研究人员访问了35家零售商店,在其中四家检测到超声波信标。不过,在审查了140个小时的电视和音频内容后,他们未能在媒体内容中找到超声波信标。在4月下旬电气和电子工程师协会(IEEE)举行的一个会议上,这些研究人员介绍了他们的发现,但这些研究尚未获得全面的学术同行评议。

SilverPush公司创始人海特什·乔拉(Hitesh Chawla) 接受科技博客Ars Technica采访时表示,对该报告的调查结果提出异议。SilverPush公司宣称,在2016年美国联邦贸易委员会(FTC)就上述监听行为对12款应用的开发者提出警告后,该公司已经放弃了广告跟踪业务。

研究人员没有分析iPhone应用,但这不能保证SilverPush代码不会潜伏在苹果的生态系统中。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章