CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

英特爾實驗室、Duke大學與賓州州立大學研究員共同寫出一套工具，用來分析Android應用程式如何智慧手機中的資料。他們拿來實驗30多種程式，結果頗令人意外。

研究員是以Market中主要類別中的熱門Android程式為主，重點放在一些可存取手機重要資訊的程式，比如位置與手機ID等，然後隨機選擇30種程式來實驗。

他們寫了一套概念驗證工具稱為TaintDroid，可即時分析應用程式蒐集了哪些敏感資訊，包括GPS資料、手機號碼、聯絡人、IMEI（國際行動設備ID）號碼（相當於手機的身份證字號），以及SIM卡序號等。

用戶下載Adnroid程式時，你會看到有個頁面會先告知該應用程式會存取哪些資料與資源，用戶必須點選「OK」之後才能下載。而這份報告則指出，由於用戶並沒有被告知程式如何使用這些資料，因此用戶承當相當大風險。

該報告指出，「第三方若有意蒐集敏感資料，則Android所提供的控制選項並不足以保護用戶。」這份報告名為「Realtime Privacy Monitoring on Smartphones」（智慧手機的即時隱私監控，完整PDF檔）。這份研究會在下週於溫哥華舉行的一場研討會中發表（USENIX Symposium on Operating Systems Design and Implementation）。

研究人員發現，在這30種程式中，有三分之二在運用資料的行為相當可疑，有半數會把位置資訊分享給廣告或分析伺服器，但卻沒取得用戶同意；另有三分之一會暴露裝置ID，有些連手機號碼與SIM卡序號都一起奉送。整體而言，研究員表示他們發現：「在20種程式中，有68例亂用使用者私人資料的情況。」

「頁面只會告知程式會存取哪些資料，但卻沒有告知拿到這些資料會如何使用。」賓州州立大學博士生William Enck表示，「使用者目前只能在安裝時自求多福，多看一眼同意畫面的說明，其他就只能假設資料不會被亂用了。就像你上網站一樣，寧可保守一點，不要事後才後悔。」

當然，Android Market目前的程式數量超過7萬種，這份研究所使用的樣本數的確偏低。

「我們不是要用數量來證明整體程式的行為，而是作一個品質分析，看看幾個重點程式的實際運作情況，然後用工具去作即時判斷。」Enck表示。

記者詢問Google的意見，Google代表表示，用戶一定得先同意才能安裝，但若有疑慮也可隨時移除。

「不論在桌面或行動裝置上，用戶多少都得提供一些資訊給程式開發者，」Google代表表示，「Android已經盡到告知責任，讓用戶有選擇的權利。我們同時也會提供開發者一些最佳實例，好讓他們可妥善運用用戶資料，我們向來主張用戶應該只安裝他們信賴的程式。」

這次報告所列出測試的程式包括 MySpace、The Weather Channel、Solitaire、Coupons、BBC News Live Stream、Ringtones，以及 Spongebob Slide 遊戲等，不過Enck表示他不想單獨點名程式，因為研究員不清楚資料蒐集的目的。

另外，若你對這套 TaintDroid 工具很有興趣，目前還無法下載，因為你得修改你手機的韌體才能使用，如此一來會導致你手機的保固失效。不過研究員有把它開放出來當作開源碼工具，請看這段 TaintDroid 示範影片。