默認安裝在你的智能手機上的系統(tǒng)應(yīng)用��,通常是卸載不掉的�����,往往并不受關(guān)注�����。但是�,對于其他應(yīng)用程序和服務(wù)�,用戶至少有些選擇權(quán),在這種情況下���,跟蹤和監(jiān)視功能被鑲嵌在了設(shè)備的結(jié)構(gòu)當(dāng)中��。
上面所說的是英國愛丁堡大學(xué)和愛爾蘭都柏林三一學(xué)院的研究人員最近聯(lián)合研究的一些結(jié)論����。他們研究了四家知名廠商的智能手機,來探尋他們傳輸了多少信息�。作為參考點,他們將結(jié)果與基于安卓�、LineageOS 和/e/OS 的開源操作系統(tǒng)進行了比較。而這是他們所發(fā)現(xiàn)的����。
█ 研究方法
為了實驗的純粹性���,研究人員為這四款智能手機設(shè)定了一個相當(dāng)嚴格的操作場景,用戶在現(xiàn)實生活中是不太可能會遇到的: 他們假設(shè)每部智能手機只用于打電話和發(fā)短信���;研究人員沒有安裝任何第三方應(yīng)用程序�����;只有制造商安裝的應(yīng)用程序留在設(shè)備上��。
另外,這些假想用戶對所有 "你是否想通過轉(zhuǎn)發(fā)數(shù)據(jù)來改善服務(wù) "這類問題的回答都是否定的���,這些問題通常是用戶在第一次打開設(shè)備時需要回答的��。他們沒有激活制造商提供的任何像云存儲或查找我的設(shè)備這類可選服務(wù)����。也就是說,在整個研究過程中����,他們盡可能地讓智能手機處于隱私保護和初始的狀態(tài)。
基礎(chǔ)的"間諜追蹤"技術(shù)在所有此類研究中都是一樣的����。智能手機連接到作為Wi-Fi 接入點的 Raspberry Pi 微型計算機上。安裝在 Raspberry Pi 上的軟件攔截并解密來自手機的數(shù)據(jù)流�。然后,數(shù)據(jù)被重新加密�,并傳遞給手機、應(yīng)用程序或操作系統(tǒng)的開發(fā)者這類接收者�。該論文的作者事實上實施了了一次(仁慈的)中間人攻擊。
好消息是�,所有傳輸?shù)臄?shù)據(jù)都被加密了。這個行業(yè)似乎終于克服了設(shè)備�、程序和服務(wù)器在沒有任何保護的情況下進行明文通信的困擾。其實,研究人員花費了大量的時間和精力來破譯和分析數(shù)據(jù)�,來弄清楚到底在發(fā)送些什么。
此后����,研究人員的工作也相對順利。他們完全刪除了每個設(shè)備上的數(shù)據(jù)�����,并進行了初始化設(shè)置��。接著�,他們在沒有登錄谷歌賬戶的情況下,讓每部智能手機開機數(shù)天����,并監(jiān)測數(shù)據(jù)的傳輸情況。接下來���,他們用谷歌賬戶登錄�,暫時啟用地理位置���,并花時間在手機的設(shè)置上��。在每個階段���,他們都監(jiān)測了哪些數(shù)據(jù)被發(fā)送了,是在哪里發(fā)送的���。他們總共測試了六部智能手機:四部使用制造商的固件���,其他兩部使用LineageOSLineageOS和/e/OS開源版本的安卓。
█ 誰收集了這些數(shù)據(jù)�?
研究人員發(fā)現(xiàn),智能手機制造商是主要的收集者����。所有四個運行原始固件(和一組預(yù)裝程序)的設(shè)備都將遙測數(shù)據(jù),以及設(shè)備序列號等持久性標(biāo)識符轉(zhuǎn)發(fā)給了制造商�。研究中,論文的作者將標(biāo)準(zhǔn)固件與定制固件進行了劃分�。
例如,LineageOS 有一個向開發(fā)者發(fā)送數(shù)據(jù)的選項(例如用于監(jiān)測程序的運行穩(wěn)定性)�����,但禁用該選項會停止數(shù)據(jù)傳輸�����。在工廠模式的設(shè)備上,在初始設(shè)置期間阻止發(fā)送數(shù)據(jù)確實會減少發(fā)送的數(shù)據(jù)量���,但它并不完全切斷數(shù)據(jù)傳輸��。
接下來接收數(shù)據(jù)的是預(yù)裝應(yīng)用程序的開發(fā)者���。在這里,我們也發(fā)現(xiàn)了一個有趣的細微差別�����。根據(jù)谷歌的規(guī)則�����,從 Google Play安裝的應(yīng)用程序必須使用某種標(biāo)識符來跟蹤用戶活動--谷歌的廣告 ID����。如果你愿意,你可以在手機的設(shè)置中改變這個標(biāo)識符���。然而�����,這一要求并不適用于制造商預(yù)裝的應(yīng)用程序--它們使用持久性標(biāo)識符來收集大量數(shù)據(jù)��。
例如�,即使機主從未打開過一個預(yù)裝的社交網(wǎng)絡(luò)應(yīng)用,它依舊會將機主的數(shù)據(jù)發(fā)送到自己的服務(wù)器上���。舉個更有趣的例子:一款智能手機上的系統(tǒng)鍵盤發(fā)送了關(guān)于哪些應(yīng)用程序在手機上運行的數(shù)據(jù)。一些帶有運營商應(yīng)用的設(shè)備���,也收集了用戶的相關(guān)信息�����。
最后��,谷歌系統(tǒng)應(yīng)用程序值得單獨提一下�����。絕大多數(shù)手機都安裝了 Google Play 服務(wù)和 Google Play 商店����,一般還安裝了 YouTube、Gmail�、地圖和其他一些應(yīng)用。研究人員指出����,谷歌應(yīng)用程序和服務(wù)收集的數(shù)據(jù)遠遠多于其他預(yù)裝程序。
█ 被發(fā)送的是哪些數(shù)據(jù)����?
研究人員再次把重點放在識別器上。所有數(shù)據(jù)都有某種獨特的代碼來識別發(fā)件人�����。有時����,它是一個一次性的代碼,這對于隱私來說是收集統(tǒng)計數(shù)據(jù)的正確方式--例如���,關(guān)于系統(tǒng)的運行穩(wěn)定性--開發(fā)者認為是有用的���。
但也有侵犯用戶隱私的長期甚至持久的標(biāo)識符也被收集。即便����,機主可以手動更改上述的谷歌廣告 ID���,但很少有人這樣做。所以我們可以認為這個發(fā)送給谷歌和設(shè)備制造商的標(biāo)識符相當(dāng)于是持久性的�。
設(shè)備序列號、無線電模塊的 IMEI 碼和 SIM 卡號碼是持久性的標(biāo)識符��。有了設(shè)備序列號和 IMEI 碼�����,即使在更換電話號碼和完全重置設(shè)備后���,也可以識別用戶。
定期傳輸有關(guān)設(shè)備型號�����、顯示屏尺寸和無線電模塊固件版本的信息在隱私方面的風(fēng)險較�。贿@些數(shù)據(jù)對同一手機型號的大量用戶來說是一樣的�。但在某些應(yīng)用程序中的用戶活動數(shù)據(jù)可以揭示出很多關(guān)于所有者的信息。此處���,研究人員談到了應(yīng)用調(diào)試所需的數(shù)據(jù)與像用于定向廣告這種可用于創(chuàng)建詳細用戶檔案的信息之間的細微差別�����。
例如���,知道一個應(yīng)用程序正在吞噬電池壽命���,對開發(fā)者來說很重要,最終將使用戶受益�。關(guān)于安裝了哪些版本的系統(tǒng)程序的數(shù)據(jù)可以決定何時下載更新,這也是很有用的�。但是,收集關(guān)于電話的確切開始和結(jié)束時間的信息是否值得�,或者說是否符合道德,仍然有待商榷�。
另一種經(jīng)常被報道的用戶數(shù)據(jù)是已安裝的應(yīng)用程序的列表。這個列表可以說明很多關(guān)于用戶的情況��,包括例如政治和宗教偏好����。
█ 結(jié)合來自不同來源的用戶數(shù)據(jù)
盡管研究人員做了詳盡的工作,但他們無法獲得關(guān)于各種手機和軟件供應(yīng)商如何收集和處理用戶數(shù)據(jù)的完整信息��。他們不得不做出一些假設(shè)。
第一種假設(shè)是:收集持久性標(biāo)識符的智能手機制造商可以追蹤用戶的活動�����,即使是該用戶刪除了手機上的所有數(shù)據(jù)并更換了 SIM 卡����。
第二種假設(shè)是:所有的市場參與者都有能力交換數(shù)據(jù),而且通過結(jié)合持久性和臨時性的 ID����,加上不同類型的遙測數(shù)據(jù),盡可能全面地了解用戶的習(xí)慣和偏好�����。這實際上是如何發(fā)生的--以及開發(fā)商是否真的交換數(shù)據(jù)�����,或?qū)⑵涑鍪劢o第三方聚合者--超出了本研究的范圍���。
█ 經(jīng)驗之談
在隱私方面,名義上的贏家是裝有安卓變體/e/OS的手機����,它使用自己的類似谷歌游戲的服務(wù)��,根本沒有傳輸任何數(shù)據(jù)���。另一款采用開源固件(LineageOS)的手機沒有向開發(fā)者發(fā)送信息,而是向谷歌發(fā)送��,因為其服務(wù)被安裝在該手機上���。這些服務(wù)是設(shè)備正常運行所需要的--如果沒有谷歌游戲服務(wù)�,一些應(yīng)用程序和許多功能根本無法運行�,或者運行效果不佳。
至于流行制造商的專有固件��,幾乎沒有什么可以區(qū)分它們的好壞��。他們都以用戶關(guān)懷為理由���,收集了相當(dāng)多的數(shù)據(jù)��。作者指出��,他們基本上無視用戶對收集和發(fā)送 "使用數(shù)據(jù) "的選擇����。只有更多的法規(guī)來確保更大的消費者隱私才能改變這種情況,目前�,只有能夠安裝非標(biāo)準(zhǔn)操作系統(tǒng)(對流行軟件的使用有限制)的高級用戶才能完全消除遙測。
至于安全問題�����,收集遙測數(shù)據(jù)似乎并不構(gòu)成任何直接風(fēng)險��。這種情況與第三級智能手機完全不同���,第三級智能手機上的惡意軟件可以直接在工廠安裝�。
該研究的好消息是�,數(shù)據(jù)傳輸是相當(dāng)安全的,這至少使外人很難獲得訪問����。研究人員確實說明了一個重要的注意事項:他們測試了帶有本地化軟件的歐洲智能手機型號�����。在其他地方,根據(jù)法律和隱私條例�,情況可能有所不同。
