近日，一項新研究稱，包括天氣和健身追蹤工具在內(nèi)的二十多款iOS應(yīng)用程序中包含一個代碼，該代碼會秘密與數(shù)據(jù)盈利公司共享用戶的位置和其他信息。盡管蘋果已經(jīng)針對隱私和保護用戶數(shù)據(jù)制定了明確的政策，但這些應(yīng)用程序已在App Store上線。當(dāng)使用這些應(yīng)用程序時，用戶可以采取一些措施來減少數(shù)據(jù)暴露的風(fēng)險——或者你可以避免使用這些應(yīng)用程序。

根據(jù)Sudo Security Group的GuardianApp(一個由安全研究員Will Strafach 負責(zé)的項目)的報告，一些熱門iOS應(yīng)用程序“使用了數(shù)據(jù)盈利公司提供的封裝代碼，秘密收集數(shù)千萬移動用戶精確的位置歷史記錄”。報告稱，在某些情況下，這些應(yīng)用程序還會被用于持續(xù)向這些公司更新GPS坐標，以便這些公司通過獲取和出售客戶數(shù)據(jù)牟利。

iOS平臺允許用戶控制哪些應(yīng)用可以訪問位置數(shù)據(jù)，但安全報告中涉及到的應(yīng)用程序都是依靠本地天氣報告以及準確的健身追蹤工具來獲得位置信息的。用戶也許覺得授予這些應(yīng)用位置權(quán)限是合理的，而不會考慮到數(shù)據(jù)盈利公司會獲取這些共享數(shù)據(jù)。

為了從移動設(shè)備的GPS傳感器那里獲得精確數(shù)據(jù)的初始訪問權(quán)限，應(yīng)用程序通常會在位置服務(wù)權(quán)限對話框中提供一個與應(yīng)用程序相關(guān)的合理理由，很少或根本不會提及一個事實，即出于與應(yīng)用運行無關(guān)的目的，它們會將位置數(shù)據(jù)與第三方實體共享。

此頁面上列出的所有位置數(shù)據(jù)盈利公司都會收集以下一個或多個數(shù)據(jù)信息：

• 藍牙LE信標數(shù)據(jù)
• GPS經(jīng)度和緯度
• WiFi SSID(網(wǎng)絡(luò)名稱)以及BSSID(網(wǎng)絡(luò)MAC地址)

此外，一些公司還會收集以下一些不太敏感的設(shè)備信息類型：

• 加速度計信息(X軸、Y軸、Z軸)
• 廣告標識符(IDFA)
• 電池充電百分比和狀態(tài)(電池或USB充電器)
• 蜂窩網(wǎng)絡(luò)MCC / MNC
• 蜂窩網(wǎng)絡(luò)名稱
• GPS緯度和/或速度
• 出發(fā)/到達某個地點的時間戳

根據(jù)安全報告顯示，含有追蹤代碼的應(yīng)用涉及到24款知名APP，如GasBuddy、MyRadar NOAA、PayByPhone Parking以及跑步跟蹤應(yīng)用C25K 5K Trainer。每個受影響的應(yīng)用程序都可以在App Store上進行下載，并且獲得了數(shù)千個用戶評級，足以彰顯其熱門程度。

GaurdianApp的研究公布了12家收集用戶數(shù)據(jù)的數(shù)據(jù)盈利公司，其中包括RevealMobile，此公司之前就被指控通過熱門天氣應(yīng)用收集用戶位置數(shù)據(jù)。該報告還補充提到，大約100個區(qū)域新聞應(yīng)用程序曾經(jīng)使用過RevealMobile的代碼，并將信息分享給這家數(shù)據(jù)盈利公司。

對于蘋果來說，它一直在積極落實App Store的相關(guān)政策，以預(yù)防應(yīng)用程序誤導(dǎo)用戶授予位置數(shù)據(jù)訪問權(quán)限，從而與第三方共享。當(dāng)應(yīng)用程序在未經(jīng)用戶明確同意的情況下或出于未經(jīng)批準的目的，將用戶位置數(shù)據(jù)傳輸給第三方，即違反了蘋果的政策。

目前，用戶可以避免使用那些出于惡意目的收集用戶數(shù)據(jù)的應(yīng)用程序，也可以使用蘋果的內(nèi)置工具來控制哪些應(yīng)用程序可以訪問位置數(shù)據(jù)。

當(dāng)被問及這份新研究報告時，蘋果尚未對此進行評論。(一舟)