谷歌和蘋果公司近來在用戶隱私保護和透明度方面高調(diào)行事，例如Google上月宣布停止Chrome第三方cookie，而蘋果公司則在iOS14中禁止開發(fā)者不經(jīng)用戶同意采集IDFA(廣告客戶識別碼)，后者是廣告行業(yè)跨應(yīng)用追蹤消費者，精準推送廣告的關(guān)鍵數(shù)據(jù)。

[[391232]]

但是，近日愛爾蘭三位一體學院的研究員道格拉斯·萊思(Douglas Leith)在最新發(fā)表的一份學術(shù)報告中寫道：“盡管蘋果的iOS和谷歌的Android設(shè)備用戶選擇了拒絕，但兩個平臺仍然在悄悄傳送遙測數(shù)據(jù)。”

這項名為“手機隱私：測量iOS和Android發(fā)送給蘋果和谷歌的數(shù)據(jù)”的研究還發(fā)現(xiàn)，與蘋果從iOS收集的數(shù)據(jù)量相比，谷歌從其Android Pixel手機用戶那里采集的數(shù)據(jù)最多高出20倍!

報告稱：“用戶手機的IMEI、硬件序列號、SIM序列號和IMSI、手機號等已(默認)與蘋果和谷歌公司共享。”“插入SIM卡后，iOS和Google Android都會向蘋果/谷歌發(fā)送詳細信息。iOS設(shè)備會將附近設(shè)備(例如其他手機和家庭網(wǎng)關(guān))的MAC地址及其GPS位置發(fā)送給蘋果公司。目前，幾乎沒有(如果有的話)防止這種數(shù)據(jù)共享的現(xiàn)實選擇。

蘋果、谷歌默認采集大量用戶隱私數(shù)據(jù)

此次測試并未覆蓋上述移動操作系統(tǒng)中預(yù)裝的應(yīng)用程序和后裝的第三方應(yīng)用程序。相反，研究的重點是操作系統(tǒng)級別的手機組件和功能收集的數(shù)據(jù)，例如蘋果的藍牙UniqueChipID，安全元件ID和設(shè)備的Wi-Fi MAC地址的傳輸。

“與蘋果相比，谷歌收集的手機數(shù)據(jù)量要大得多，”Leith寫道。“在啟動的前10分鐘內(nèi)，Pixel手機向谷歌發(fā)送了大約1MB的數(shù)據(jù)，而iPhone向蘋果發(fā)送了大約42KB的數(shù)據(jù)。當手機閑置時，Pixel每12小時向谷歌發(fā)送大約1MB的數(shù)據(jù)，而iPhone向蘋果發(fā)送52KB的數(shù)據(jù)–也就是說，谷歌收集的手機數(shù)據(jù)比蘋果多20倍。”

他指出，無論是否使用操作系統(tǒng)，操作系統(tǒng)平均每4.5分鐘連接一次其后端服務(wù)器。

Leith還抽樣檢查了一些手機制造商預(yù)裝的應(yīng)用程序和服務(wù)。他指出，盡管從未打開或使用過，但它們也建立了網(wǎng)絡(luò)連接。

“尤其是在iOS上，這些應(yīng)用包括Siri、Safari和iCloud;在Google Android上，后臺建立連接的應(yīng)用包括YouTube、Chrome、Google Docs、Safetyhub、Google Messaging、Clock和Google SearchBar。”Leith說道。

移動設(shè)備共享太多數(shù)據(jù)的隱私風險是什么?

研究人員指出，共享此類遙測數(shù)據(jù)的手機會產(chǎn)生兩個方面的隱私風險。首先，谷歌和蘋果可以使用數(shù)據(jù)來識別用戶并跟蹤購買情況。其次，蘋果和谷歌可能濫用用戶的信任并跟蹤他們的活動。

研究人員指出，將用戶數(shù)據(jù)傳輸?shù)皆O(shè)備制造商的后端對于為特定設(shè)備型號推送安全更新是必要的，但是當將用戶數(shù)據(jù)綁定到特定用戶時，收集數(shù)據(jù)開始變得危險。

他說：“許多研究表明，隨著時間的推移，手機位置數(shù)據(jù)可以被用來泄漏個人真實身份信息。”

參考資料：https://www.scss.tcd.ie/doug.leith/apple_google.pdf

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文