11月7日消息,据国外媒体报道,最新针对110款应用的一项研究发现,谷歌Google Play和苹果App Store应用商店的应用均频繁给第三方发送用户的个人信息,而且通常都不进行事先通知提醒。
研究人员分析了Google Play和App Store上的55款热门应用,发现大部分都定期给谷歌、苹果和其它第三方提供用户的邮箱地址、姓名和物理位置信息。平均来说,Android应用将可能敏感的数据发送至3.1个第三方域名,iOS应用则是2.6个。在一些情况下,健康类应用会在不提醒用户的情况下将包含诸如“疱疹”、“干扰素”的单词的搜索信息发送到5个或以上的域名。
该项研究的标题为“谁了解我?移动应用向第三方秘密共享个人数据研究”,研究人员写道,“该研究的结果表明,iOS和Android的现行许可系统在全面提醒用户数据共享程度上做得很不够。”当前的Android和iOS应用在共享数据时并不需要许可请求通知,不需要用户进行诸如个人验证信息的输入。
Android应用传送的最多的个人信息是用户的邮箱地址,73%的受调查应用发送该类数据。另外,49%的Android应用发送用户的姓名,33%发送用户的实时GPS坐标,25%发送用户的地址,24%发送手机的国际移动设备识别码(IMEI)或其它细节。
同样让人担忧的是第三方从各类Android应用同时获得用户数据的现象。例如,Facebook从7款应用那里获得用户的姓名和位置,包括American Well、Groupon、Pinterest、RunKeeper、Tango、Text Free和Timehop。
研究人员还发现,在55款受测试的Android应用中,有51款连接到safemovedm.com域名。该域名连接的目的还不得而知,但它的普及让人惊奇。在不运行任何应用的情况下使用手机时,该连接依然存在。它有可能是Android操作系统所设置的背景连接。
与此同时,iOS应用最经常向第三方发送用户的实时位置信息,47%受调查应用传送该类数据。另外,18%应用发送用户的姓名,16%发送邮箱地址。其中,Pinterest应用向4个第三方域名发送姓名信息,其中包括yoz.io.facebook.com、crittercism.com和flurry.com。
有数款应用还发送其它的敏感信息。例如,月经周期跟踪应用Period Tracker Lite向apsalar.com传送诸如“失眠”的症状输入信息,来自Indeed.com和Snagajob的求职应用与4个域名(207.net, healthcareresource.com、google-analytics.com和scorecardresearch.com)共享诸如“护士”和“汽车维修工”的求职相关输入信息。
研究人员表示,要保护个人信息,应用用户可以做的是在应用要求填写个人信息是提供虚假数据。他们还指出,应用应当进行调整,以使得用户可以跳出数据收集范围,应用商店也应明确告知用户哪些第三方可能会获得他们的数据。(皓慧)