Boffins说大多数Android应用程序都会在你不知情的情况下,监控你的屏幕!

什么被称为“媒体许可和Android应用程序泄漏的第一次大规模实证研究”发现,一个惊人的数字可以帮助你了解屏幕。

Google Play商店中超过89%的应用程序使用了一个请求屏幕捕获或录制的API - 而且用户不会忘记Android权限框架。

“我们的研究揭示了Android应用程序生态系统中存在的几个令人担忧的隐私风险,包括过度配置其媒体权限的应用程序以及在未经用户知情或同意的情况下以意外方式与其他方共享图像和视频数据的应用程序,”作者指出。

“我们还确定了以前未报告的隐私风险,这些隐私风险来自第三方图书馆,它们在不通知用户且无需任何权限的情况下记录和上传屏幕截图和视频。”

作者Elleen Pan(东北大学),Jingjing Ren(东北大学),Martina Lindorfer(加州大学圣塔芭芭拉分校),Christo Wilson(东北大学)和David Choffnes(东北大学)一年多来从Google Play商店学习了17,260个应用程序及其他下载网站,并对大约9,000个应用程序的子集使用动态分析。他们的论文名为“ Panoptispy:表征Android应用程序中的音频和视频渗漏”摘要PDF)。

他们发现,据称设置和控制权限的用户和应用程序开发人员并不知道第三个库正在肆意挥霍。或者,用他们的话来说,许可模型是有缺陷的,因为它是a)“粗粒度”和b)“不完整”。

Android安全性存在空洞。“他们没有获得应用程序中第三方代码所需的许可,可以连续记录显示给用户的屏幕,”他们指出。

谷歌通过免费赠送Android占据了80%以上的市场份额,使其能够主导搜索,地图,视频等。但谷歌的主要业务是消费者数据处理,将用户的取证定位销售给广告商。手机知道的越多,其广告就越有针对性和有效。

来源:Panoptispy:表征Android应用程序中的音频和视频泄漏 ;

从好的方面来看,作者“发现了很少的隐蔽录音事件(即,没有用户故意这样拍摄照片或视频的应用程序)”。

但他们承认,由于未分析本机代码,他们可能错过了一些。“我们的静态分析方法侧重于Android SDK中的方法,而不是本机代码,因此我们可能会错过媒体泄漏的情况。同样,我们可能会错过动态加载代码的泄漏。”

研究人员计划在iOS上调查第三方图书馆,看看那里可能会发生什么样的事情。®

  • 发表于:
  • 原文链接:http://www.theregister.co.uk/2018/07/04/most_android_apps_can_slurp_your_screen_and_you_wouldnt_even_know

扫码关注云+社区

领取腾讯云代金券