預(yù)裝Android應(yīng)用程序會帶來巨大的安全和隱私風(fēng)險

僅在一個月前，在基于Android的阿爾卡特智能手機上發(fā)現(xiàn)了預(yù)先安裝的惡意軟件，而其他此類安全漏洞對谷歌自己的Play商店中發(fā)現(xiàn)的應(yīng)用并不陌生。

但最近一項分析預(yù)安裝Android軟件的研究發(fā)現(xiàn)，許多提供自己版本的開源操作系統(tǒng)的供應(yīng)商濫用該平臺，以便發(fā)布具有集成數(shù)據(jù)收集服務(wù)的產(chǎn)品。

該分析由IMDEA網(wǎng)絡(luò)研究所，馬德里卡洛斯二世大學(xué)，斯托尼布魯克斯大學(xué)和ICSI進(jìn)行，涵蓋了200多家設(shè)備制造商，1,700臺設(shè)備和82,000個預(yù)裝應(yīng)用程序。

它不僅僅是Android：Google Play和Apple的App Store為您的數(shù)據(jù)提供虛假安全的原因有5個

該研究的結(jié)論是，無論是通過故意濫用還是不良做法，為智能手機創(chuàng)建自己的基于Android的固件的公司都傾向于允許第三方訪問其軟件中的用戶數(shù)據(jù)，并且還隱藏用戶的此類活動。“這種情況已經(jīng)成為用戶隱私甚至安全的危險”，該論文稱，“由于濫用特權(quán)，例如預(yù)裝惡意軟件，或者由于軟件工程實踐不佳而引入漏洞和危險的后門。“

分析發(fā)現(xiàn)，不僅是負(fù)責(zé)此類違法行為的智能手機制造商，而且是從軟件開發(fā)商到廣告商的“無數(shù)演員”，而且這些團體可能參與秘密合作關(guān)系。

“用戶的活動，個人數(shù)據(jù)和習(xí)慣可能會被許多用戶可能從未聽說過的利益相關(guān)者持續(xù)監(jiān)控，更不用說同意收集他們的數(shù)據(jù)了，”該研究發(fā)現(xiàn)。

至于這些研究人員發(fā)現(xiàn)缺乏透明度的解決方案，他們建議引入一個客觀的“全球信任”監(jiān)管機構(gòu)，該機構(gòu)將簽署軟件證書而非供應(yīng)商本身，以及預(yù)先安裝的應(yīng)用程序的清晰公開文檔，他們的目的，以及對他們負(fù)責(zé)的實體。

Google已就此問題對TechCrunch作出回應(yīng)，聲稱該報告的方法“無法區(qū)分預(yù)先安裝的系統(tǒng)軟件與稍后訪問該設(shè)備的惡意軟件”，并且該公司與之密切合作，并為其合作伙伴提供工具，以防止違反其政策的軟件。