环境

<p>我们的手机可以揭示很多关于我们自己:我们生活和工作的地方;我们的家人,朋友和熟人是谁;我们如何(甚至是什么)与他们沟通;我们的个人习惯随着存储在他们身上的所有信息,移动设备用户采取措施保护他们的隐私也就不足为奇了,例如使用PIN或密码来解锁他们的手机我们和我们的同事正在进行的研究确定并探索了大多数人遗漏的重大威胁:超过70%的智能手机应用程序向第三方跟踪公司报告个人数据,如Google Analytics,Facebook Graph API或Crashlytics当人们安装新的Android或iOS应用程序时,它会在之前询问用户的许可访问个人信息一般来说,这是积极的,这些应用程序正在收集的一些信息是他们正常工作所必需的:如果地图应用程序无法使用GPS数据获取位置,那么地图应用程序就不会那么有用但是一次一个应用程序有权收集该信息,它可以与应用程序开发人员想要的任何人共享您的数据 - 让第三方公司跟踪您的位置,你移动的速度和你正在做的事情一个应用程序不只是收集要在手机上使用的数据映射应用程序,例如,将你的位置发送到应用程序开发人员运行的服务器,以计算你所在的位置到期望的目的地该应用程序也可以在其他地方发送数据与网站一样,许多移动应用程序是通过组合各种功能编写的,由其他开发人员和公司预编码,在所谓的第三方库中这些库可帮助开发人员跟踪用户参与度,连接与社交媒体和通过显示广告和其他功能赚钱,而无需从头开始写它们但是,除了他们的宝贵帮助,大多数图书馆还收集敏感数据并将其发送到他们的在线服务器 - 或另一家公司发送成功的图书馆作者可能能够开发详细的用户数字配置文件例如,一个人可能会给一个应用程序许可知道他们的位置,另一个应用程序访问他们的con机智这些最初是单独的权限,每个应用程序一个但是如果两个应用程序使用相同的第三方库并共享不同的信息,则库的开发人员可以将这些部分链接在一起用户永远不会知道,因为应用程序不需要告诉用户他们使用的软件库只有极少数应用程序公开他们的用户隐私政策;如果他们这样做,通常是在长期法律文件中,普通人不会阅读,更不用说了解我们的研究旨在揭示在没有用户知识的情况下可能收集的数据量,并让用户更多地控制他们的数据</p><p>从人们的智能手机收集和传输的数据图片,我们开发了一个我们自己的免费Android应用程序,称为流明隐私监视器它分析流量应用程序发出,报告哪些应用程序和在线服务积极收集个人数据因为流明是关于透明度,电话用户可以看到安装的应用程序实时收集的信息以及他们与谁共享这些数据我们试图以易于理解的方式显示应用程序的隐藏行为的详细信息这也是关于研究的,所以我们询问用户是否允许我们收集一些关于Lumen观察他们的应用程序正在做什么的数据 - 但这不包括任何个人或隐私敏感数据这种独特的d访问权限ata允许我们研究移动应用程序如何收集用户的个人数据以及他们与谁以前所未有的规模共享数据特别是,Lumen会跟踪用户设备上正在运行的应用程序,无论他们是否正在发送隐私敏感数据</p><p>手机,他们发送数据的互联网网站,他们使用的网络协议以及每个应用发送到每个网站的个人信息类型流明在设备上本地分析应用流量,并在将这些数据发送给我们进行研究之前将其匿名化:如果Google地图注册了用户的GPS位置并将该特定地址发送到mapsgooglecom,Lumen告诉我们,“谷歌地图获得了GPS位置并将其发送到mapsgooglecom” - 而不是那个人实际上是自2015年10月以来使用流明的1600多人我们分析超过5,000个应用程序 我们发现有598个互联网网站可能会出于广告目的跟踪用户,包括Facebook等社交媒体服务,谷歌和雅虎等大型互联网公司,以及Verizon Wireless等互联网服务提供商旗下的在线营销公司我们发现超过70%我们研究的应用程序连接到至少一个跟踪器,其中15%连接到五个或更多跟踪器每四个跟踪器中就有一个收集至少一个唯一的设备标识符,例如电话号码或其设备特定的唯一15位数IMEI号码唯一标识符对于在线跟踪服务至关重要,因为它们可以将不同应用程序提供的不同类型的个人数据连接到单个人或设备大多数用户,甚至是隐私保护的用户,都不知道这些隐藏的做法在移动设备上跟踪用户只是一个更大问题的一部分我们确定的超过一半的应用程序跟踪器也通过网站跟踪用户感谢这种技术称为“跨设备”跟踪,这些服务可以构建更完整的在线角色配置文件</p><p>个人跟踪网站不一定独立于其他网站</p><p>其中一些网站由同一个公司实体拥有 - 其他人可能被吞下在未来的合并中,例如,Google的母公司Alphabet拥有我们研究过的几个跟踪域,包括Google Analytics,DoubleClick或AdMob,并通过它们从我们研究的48%以上的应用中收集数据用户的在线身份不受本国法律保护我们发现数据跨越国界运输,通常最终出现在隐私法律有问题的国家中60%以上与跟踪站点的连接是针对美国,英国,法国,新加坡,中国的服务器和韩国 - 已经部署了大规模监视技术的六个国家这些地方的政府机构可能有机会获得这些技术这些数据,即使用户位于德国,瑞士或西班牙等隐私法律较强的国家,更令人不安的是,我们在针对儿童的应用程序中观察到跟踪器通过在我们的实验室测试111个孩子的应用程序,我们发现其中有11个泄露了它所连接的Wi-Fi路由器的唯一标识符MAC地址这是一个问题,因为它很容易在线搜索与特定MAC地址相关的物理位置收集有关儿童的私人信息,包括他们的位置,帐户和其他唯一标识符,可能违反联邦贸易委员会保护儿童隐私的规则虽然我们的数据包括许多最受欢迎的Android应用程序,但它只是一小部分用户和应用程序,因此可能是一小部分可能的跟踪器我们的调查结果可能仅仅涉及跨越监管辖区,设备和平台的可能是一个更大问题的表面它是ha了解用户可能做些什么阻止敏感信息离开手机可能会影响应用程序性能或用户体验:如果应用无法加载广告,应用可能拒绝运行实际上,阻止广告会损害应用开发人员的利益支持他们对应用程序的工作,这些应用程序通常对用户免费如果人们更愿意为应用程序支付开发人员费用,这可能会有所帮助,虽然这不是一个完整的解决方案我们发现虽然付费应用程序倾向于联系较少的跟踪网站,但他们仍然会跟踪用户并与第三方跟踪服务建立联系透明度,教育和强有力的监管框架是关键用户需要知道有关他们的信息正在被收集,由谁以及被使用的是什么只有这样我们作为一个社会才能决定什么是隐私保护是适当的,并把它们放到位我们的研究结果,以及许多其他研究人员的研究结果,可以帮助改变表格并追踪跟踪器Narseo Vallina-Rodriguez,西班牙马德里IMDEA网络研究所研究助理教授;研究科学家,网络与安全,国际计算机科学研究所,加州大学伯克利分校和Srikanth Sundaresan,普林斯顿大学计算机科学研究员</p><p>本文最初发表于The Conversation阅读原文The Conversation's logo照片: