我們在”你知道你的隱私資料正被App偷走嗎?“以及”手機保鑣是什麼東西?“都說過,智慧型手機的使用者必須自己有保護措施,否則自己的隱私檔案可能不知不覺的都已經被偷走了 …
紐約時報的這篇”Et Tu, Google? Android Apps Can Also Secretly Copy Photos“,就說到了前陣子出現Apple App開發者可以抓到整個私人的相本資料,只要使用者允許App使用location data,而現在連Android也發生相同的問題。
Et Tu, Google? 的意思是「Google你也有份」,大家不要光是指著Apple,現在Android甚至於不需要使用者的允許,只需要有網路連線的權限,就可以把照片在使用者完全不知情的情況下傳送到遠端,而且目前尚不知道是否已經有App開發者用這種方式盜用照片。
對於相片以外的資料,Android App的開發者就必須獲得使用者的同意才能夠抓取。因此目前只有智慧型手機中的相片檔案,成為這些安全漏洞的犧牲品。其他如email、通訊錄、連絡人資料都還算安全,因此專家們很好奇,為什麼獨有相片檔案會發生這個問題。
Apple的iOS與Google的Android作業系統的這些問題提醒我們,要讓這麼多種類型的App可以提供各種功能,又要確定安全問題不會出問題,是非常複雜而且困難的事情。
一位專門製作Android安全軟體的首席技術官Kevin Mahaffey表示:”我們可以確認在Android系統下,不需要使用者的允許就可以讀取相片,我們已經在許多設備上測試過”。
Google針對這個問題,已經確認並且表示將進行改善。Google表示由於相片檔案可以存放在可移動式儲存設備(如SD卡),因此為了把開發問題簡單化而沒有特別限制,但是如果有Android App違反規範,Google會將這些App移除。
一位安全專家Ashkan Soltani表示,Google的說法可能會讓許多使用者感到很意外,因為對於使用者來說,根本不知道內建式的儲存空間跟可移動式儲存設備會有任何差異。就好像買了一台車子,車子丟了以後,才知道上了鎖後只鎖車門,但是後車箱卻是可以打開的。
Ashkan Soltani並表示,使用者會假設Google已經做好把關的動作,雖然有所謂的Google Bouncer進行模擬手機上的運作狀況,來找出潛藏其中的病毒或木馬,但是實際上,這個假設是錯誤的。
Google的Android開發者安全規範中說,Android的安全架構不允許應用程式在未獲得使用者的同意下進行任何操作,因為會影響其他應用或是作業系統讀寫使用者個人的隱私資料。但是顯然的,這個開發者安全規範只是防君子而不防小人。
所以發生這麼多的隱私安全問題,再次呼籲智慧型手機的使用者,不要太相信這些大公司,Apple會超越你的允許偷走你的相片,而Google根本不需要你的允許,就可以大方的讀取相片資料,而台灣大哥大的預設軟體,則可以讓使用或未使用手機保鑣的用戶陷於毫無保障之境。