Android app 隱私濫用疑慮

Intel 實驗室、Duke 大學與賓州州立大學研究員共同撰寫一套驗證工具,名為 TaintDroid,用於即時分析 Android app 蒐集了哪些憂關用戶隱私的資訊,包括 GPS 資料、電話號碼、聯絡人、IMEI 以及 SIM 卡序號,經過隨機挑選三十款 Android app 的實驗後,提出一份「智慧手機的即時隱私監控」的報告,結果令人耽憂。

關於此份研究結果,ZDNet 有篇 文章 加以報導 (翻譯於此),本文稍加重點整理並條列於下。

  • 此三十種 Adnroid app 之中,有三分之二在運用資料的行為相當可疑,有半數會把位置資訊分享給廣告或分析伺服器,但卻沒取得用戶同意
  • 另有三分之一會暴露 IMEI,有些連電話號碼與 SIM 卡序號都一併奉送
  • 研究員表示在二十種 Adnroid app 之中,有 68 例濫用使用者私人資料的情況

雖然取樣數只有三十,與整個 Android Market 目前的 app 總數相比,顯得太少,不過我個人認為,就算把三分之一會暴露 IMEI 的比例除以十還是很大。

Android 用戶自求多福

Google 目前的措施是,用戶必需在存取資料與資源的警告頁中表示同意之後,才能下載 Adnroid app。但其實 Android app developer 並未交待將如何使用這些資料。而 Google 的代表表示,用戶一定得先同意才能安裝,但若有疑慮也可隨時移除。

上一段的意思大概就是,一旦你同意了之後,就是你家的事了。姑且不論 Google 是否一向因為 engineer driven 而站在 developer 那一邊 (雖然並無法以 AdSense for mobile 或 AdMob 回饋甚多),所以對 Android Market 的控制如此鬆散,不論如何,看起來都不像站在 Android phone 用戶這一邊。

若有疑慮也可隨時移除」的說法,跟 Apple 處理 iPhone 4 天線問題時的態度很像,不滿意請退貨。但不同的是一個是無條件全額退款,另一個則是資料被取走就取走了,移除 app 只是… 移除 app 而巳。

本文的結論就是 Android 用戶得自求多福了,其實這也不是有了這份報告才能下的結論,開放的結果就是這樣。開放的精神固然崇高,但 3rd party developer 的操守則有待商榷。