由百度與Salmonads所建立的第三方函式庫,利用SD卡作為掩飾,當一個程式讀取了手機的IMEI,就會將它儲存在SD卡上,以利另一個無法讀取IMEI的程式存取。(圖為柏克萊大學國際電腦科學研究所<50 Ways to Leak Your Data>報告中提及的Baidu Maps SDK)

柏克萊大學國際電腦科學研究所(International Computer Science Institute,ICSI)最近發表一研究報告,指稱有許多Android程式繞過了該平台的使用者許可機制,就算使用者拒絕許可,它們依舊能取得裝置的MAC位址或位置資訊。

此一取名為《50種資料外洩管道》的研究報告,打造了一個誘捕環境來檢驗逾8.8萬款Android程式,這些Android程式都是從美國的Google Play所下載,當中不乏許多知名程式。

該報告作者之一的Serge Egelman說明,Android程式是透過各種API與作業系統互動,以讓作業系統管理程式的存取行為,而這些API通常受到許可機制的保護,但檔案系統卻經常未受到保護,於是便有一些程式縱使未取得許可,還是能從檔案系統找到它們所需要的資訊。

這些程式是利用旁路及掩飾等手法來達到目的,前者如上所提,後者則是允許程式串通,以讓另一個未取得權限的程式能夠共享使用者的資訊,兩者皆對使用者隱私造成了威脅。

例如有5個程式透過位址解析協定(Address Resolution Protocol,ARP)的快取,取得了Wi-Fi路由器的MAC位址,也有另5個程式含有此類攻擊的潛力;有42個程式利用ioctl系統呼叫存取裝置MAC位址,另有12,408個程式亦具備此功能。

特別的是由中國的百度與Salmonads所建立的第三方函式庫,利用SD卡作為掩飾,當一個程式讀取了手機的IMEI,就會將它儲存在SD卡上,以利另一個無法讀取IMEI的程式存取。

其中有8款程式會在未取得許可下,將手機的IMEI傳送給百度,另有153款使用此一百度SDK,估計相關的程式安裝數量超過26億。

還有一個程式利用照片的元資料作為旁路,進而存取裝置的位置資訊。

不管是MAC或IMEI都是裝置的獨特記號,當程式可識別不同的裝置時,就能據此傳送目標式廣告;得知裝置的位置亦能傳送在地化廣告。

研究人員已向Google及美國聯邦交易委員會(FTC)揭露其研究成果,還贏得了由Google所提供的抓漏獎金,部份程式已遭Google下架。


Advertisement

更多 iThome相關內容