后台刷新功能有风险!大批iOS应用被曝发送用户数据
根据《华盛顿邮报》进行的一项隐私实验,当允许后台应用刷新时,一些ios应用会利用这项功能定期向追踪公司发送数据。
《华盛顿邮报》记者乔福瑞·福勒(geoffrey fowler)与隐私公司disconnect合作使用专有软件来查看自己的iphone运行情况。虽然有应用使用追踪器并分享用户数据并不令人意外,但利用后台刷新功能发送数据的频率还是令人惊讶。
这些应用会发送手机号码、电子邮箱、地理定位、ip地址等信息,其中包括微软onedrive、mint、nike、spotify、the weather channel、doordash、yelp、citizen甚至《华盛顿邮报》自己的ios应用。其中,citizen共享的个人身份识别信息违反了它的隐私政策,而yelp每过5分钟就会发送信息,但该公司随后表示这是一个漏洞。
在持续一周的测试中,总共发现5400个追踪器,多数都在应用内,disconnect透露这些追踪器总共可能在一个月的时间内发送1.5gb数据。
应用内的追踪器具备多种不同的目的,有的可以分析用户行为,让应用简化广告系列、对抗欺诈或创建精准广告。例如,快递应用doordash就被发现在应用内使用9个追踪器,并分享设备名、广告识别码、加速计数据、配送地址、姓名、电子邮件和运营商等信息。
doordash还使用来自facebook和谷歌广告服务的追踪器,使得这些公司也可以在用户使用doordash的服务时收到通知。这种情况并非个例。
并非所有数据收集都是恶意行为,有的会进行匿名,并在一定时间后删除,但一些追踪器会收集具体的用户数据,但并不提供明确的保存时间和分享对象。
福勒指出,没有一种方法可以知道哪些应用在使用追踪器,以及哪些数据被发送出去,苹果也没有提供相应的工具。该公司也只是在回应中给出了标准化的隐私答复。
福勒建议苹果可以要求应用在使用第三方追踪器时添加标签,而隐私公司disconnect认为,在ios中加强隐私控制可以让用户更好地控制数据。担心应用偷偷发送数据的ios用户可以关闭后台刷新功能,并使用disconnect的privacy pro等vpn应用来限制应用向第三方发送数据。