超过4000个Android应用程序静默访问您已安装的软件

最近发表的一份研究报告显示，超过4,000种Google Play应用程序在数据抓取中以静默方式收集了所有其他已安装应用程序的列表，从而使开发人员和广告客户可以构建用户的详细个人资料。

这些应用程序使用Android提供的编程界面，该界面会扫描手机以获取有关手机上安装的所有其他应用程序的详细信息。该应用程序的详细信息（包括名称，首次安装和更新的日期以及其他三类以上）未经许可也没有通知就上传到远程服务器。

我就是我

Android已安装的应用程序方法或IAM是应用程序编程接口，可让应用程序与设备上的其他程序进行静默交互。他们使用两种方法来检索与已安装的应用程序相关的各种信息，而Google均未将这两种方法归类为敏感API。缺乏这样的名称使得方法可以以用户不可见的方式使用。

并非所有收集其他已安装应用程序详细信息的应用程序都是出于恶意目的。新论文背后的研究人员对开发人员进行的调查显示，开发人员收集的内容是启动器应用程序的基础，该应用程序允许自定义主屏幕并提供打开其他应用程序的快捷方式。VPN，备份软件，通知管理器，反恶意软件，电池节省程序和防火墙也使用IAM。

但是，研究人员在他们的论文《让我的应用程序独自一人！》中报告说，但是广告主和开发人员也可以使用数据抓取来收集用户的详细资料。Android开发人员如何访问用户设备上已安装的应用程序的研究。他们引用以前的研究，如这一次，它发现，安装在设备上的应用程序的一个快照使研究人员能够以约70％的精确度预测用户的性别。相同研究人员的后续发现将人口统计学推论为宗教，婚姻状况，口语和感兴趣的国家等特征。一个研究不同的研究人员表示，用户的人口统计信息还包括年龄，种族和收入。研究还发现，可以以82％的准确率预测用户的性别。

“由于Android平台的其他隐私敏感部分受到应用程序权限的保护，因此迫使开发人员在尝试访问这些部分之前明确通知用户，[这引出了为什么对IAM进行不同对待的问题，”大学的研究人员最新论文写了意大利拉奎拉（L'Aquila），阿姆斯特丹弗里耶大学（Vrije University）和苏黎世（ETH）的ETH的论文。“实际上，通常被认为是隐私法规中最前沿的欧盟通用数据保护法规（GDPR）认为，对于所有个人而言，“由其设备，应用程序，工具和协议提供的在线标识符”都是个人数据。目的和手段。”

变化

这份新报告说，谷歌正在考虑对Android 11的beta版中已经添加的几项Android更改（原定于第三季度发布，但尚不清楚该时间表是否会因由COVID-19大流行引起的破坏）。在经过考虑的变更下，开发人员必须（1）在应用清单中明确声明一个应用程序与其他应用程序进行交互，该文件描述了有关该应用程序的基本信息，或者他们必须检查（2）新的权限称为QUERY_ALL_PACKAGES，其确切功能对一些开发人员尚不清楚。

研究人员说，这一变化仍然没有解决IAM滥用的主要缺点之一，那就是用户没有注意到应用程序需要潜在的侵犯隐私权限。根据经过考虑的更改，仍然不需要应用程序公开其关于所有其他已安装应用程序的详细信息的集合。Google代表没有回复询问Android计划中的更改并要求对本文进行更一般性评论的电子邮件。

应用间谍

研究人员研究了Google Play商店中的14,342个免费Android应用程序和7,886个开源Android应用程序，并分析了这些应用程序对IAM的使用。研究人员发现，有4,214个Google Play应用程序使用了IAM，占所研究应用程序的30％以上。仅228个开源应用程序（或略少于3％）收集了其他应用程序的详细信息。由Google托管的服务中有超过300万个应用程序可用，因此几乎可以肯定的是，撬动应用程序的实际数量比研究中发现的4,214个数量级高出一个数量级。

按照降序排列，最常收集数据的前五个Google Play应用类别为：游戏（73％），漫画（71％），个性化（61％），汽车和车辆（54％）和家庭（43％ ）。下图列出了IAMS在所有类别中的使用。

该文件没有按名称标识任何应用程序。

收集了应用程序数据的绝大多数Google Play应用程序（有84％）是使用第三方代码库完成的。研究人员确定了56个收集数据的广告库，发现其中“少量”占捆绑库在所有IAM使用中的三分之一以上。确定的其他捆绑包包括实用程序库，自定义库以及分析和应用促销库。下表列出了最常用的20个库：

研究人员写道：“在结果讨论中，我们假设广告库执行的IAM调用绝大多数是出于分析目的，因此我们建议对Android平台进行一些潜在的更改。” 建议中最主要的是，用户会收到有关某个应用程序正在请求访问其他已安装应用程序的权限的通知。像其他权限请求一样，它应使用户能够拒绝。

研究人员说，苹果公司的iOS使用类似于IAM的方法，允许应用程序跟踪其他已安装的应用程序。研究人员接着说，在最新版本的操作系统中，“必须先在app ... manifest文件内声明感兴趣的应用程序，并在发布之前由应用程序商店主持人进行审核。”

如前所述，应用程序有合理的理由收集其他已安装应用程序的详细信息。但是也有值得关注的理由。这项最新研究仅加强了我长期以来的建议，即应谨慎安装Android应用程序，并且仅在提供明显好处的情况下安装。与免费应用相比，它还有助于偏爱收费应用，因为后者更可能依赖广告来获取收入。还显示了开源应用程序收集的应用程序数据较少，但是它们还要求用户允许从第三方市场进行安装。