近日，一項(xiàng)新研究稱(chēng)，包括天氣和健身追蹤工具在內(nèi)的二十多款iOS應(yīng)用程序中包含一個(gè)代碼，該代碼會(huì)秘密與數(shù)據(jù)盈利公司共享用戶(hù)的位置和其他信息。盡管蘋(píng)果已經(jīng)針對(duì)隱私和保護(hù)用戶(hù)數(shù)據(jù)制定了明確的政策，但這些應(yīng)用程序已在App Store上線。當(dāng)使用這些應(yīng)用程序時(shí)，用戶(hù)可以采取一些措施來(lái)減少數(shù)據(jù)暴露的風(fēng)險(xiǎn)——或者你可以避免使用這些應(yīng)用程序。

根據(jù)Sudo Security Group的GuardianApp(一個(gè)由安全研究員Will Strafach 負(fù)責(zé)的項(xiàng)目)的報(bào)告，一些熱門(mén)iOS應(yīng)用程序“使用了數(shù)據(jù)盈利公司提供的封裝代碼，秘密收集數(shù)千萬(wàn)移動(dòng)用戶(hù)精確的位置歷史記錄”。報(bào)告稱(chēng)，在某些情況下，這些應(yīng)用程序還會(huì)被用于持續(xù)向這些公司更新GPS坐標(biāo)，以便這些公司通過(guò)獲取和出售客戶(hù)數(shù)據(jù)牟利。

iOS平臺(tái)允許用戶(hù)控制哪些應(yīng)用可以訪問(wèn)位置數(shù)據(jù)，但安全報(bào)告中涉及到的應(yīng)用程序都是依靠本地天氣報(bào)告以及準(zhǔn)確的健身追蹤工具來(lái)獲得位置信息的。用戶(hù)也許覺(jué)得授予這些應(yīng)用位置權(quán)限是合理的，而不會(huì)考慮到數(shù)據(jù)盈利公司會(huì)獲取這些共享數(shù)據(jù)。

為了從移動(dòng)設(shè)備的GPS傳感器那里獲得精確數(shù)據(jù)的初始訪問(wèn)權(quán)限，應(yīng)用程序通常會(huì)在位置服務(wù)權(quán)限對(duì)話(huà)框中提供一個(gè)與應(yīng)用程序相關(guān)的合理理由，很少或根本不會(huì)提及一個(gè)事實(shí)，即出于與應(yīng)用運(yùn)行無(wú)關(guān)的目的，它們會(huì)將位置數(shù)據(jù)與第三方實(shí)體共享。

此頁(yè)面上列出的所有位置數(shù)據(jù)盈利公司都會(huì)收集以下一個(gè)或多個(gè)數(shù)據(jù)信息：

• 藍(lán)牙LE信標(biāo)數(shù)據(jù)
• GPS經(jīng)度和緯度
• WiFi SSID(網(wǎng)絡(luò)名稱(chēng))以及BSSID(網(wǎng)絡(luò)MAC地址)

此外，一些公司還會(huì)收集以下一些不太敏感的設(shè)備信息類(lèi)型：

• 加速度計(jì)信息(X軸、Y軸、Z軸)
• 廣告標(biāo)識(shí)符(IDFA)
• 電池充電百分比和狀態(tài)(電池或USB充電器)
• 蜂窩網(wǎng)絡(luò)MCC / MNC
• 蜂窩網(wǎng)絡(luò)名稱(chēng)
• GPS緯度和/或速度
• 出發(fā)/到達(dá)某個(gè)地點(diǎn)的時(shí)間戳

根據(jù)安全報(bào)告顯示，含有追蹤代碼的應(yīng)用涉及到24款知名APP，如GasBuddy、MyRadar NOAA、PayByPhone Parking以及跑步跟蹤應(yīng)用C25K 5K Trainer。每個(gè)受影響的應(yīng)用程序都可以在App Store上進(jìn)行下載，并且獲得了數(shù)千個(gè)用戶(hù)評(píng)級(jí)，足以彰顯其熱門(mén)程度。

GaurdianApp的研究公布了12家收集用戶(hù)數(shù)據(jù)的數(shù)據(jù)盈利公司，其中包括RevealMobile，此公司之前就被指控通過(guò)熱門(mén)天氣應(yīng)用收集用戶(hù)位置數(shù)據(jù)。該報(bào)告還補(bǔ)充提到，大約100個(gè)區(qū)域新聞應(yīng)用程序曾經(jīng)使用過(guò)RevealMobile的代碼，并將信息分享給這家數(shù)據(jù)盈利公司。

對(duì)于蘋(píng)果來(lái)說(shuō)，它一直在積極落實(shí)App Store的相關(guān)政策，以預(yù)防應(yīng)用程序誤導(dǎo)用戶(hù)授予位置數(shù)據(jù)訪問(wèn)權(quán)限，從而與第三方共享。當(dāng)應(yīng)用程序在未經(jīng)用戶(hù)明確同意的情況下或出于未經(jīng)批準(zhǔn)的目的，將用戶(hù)位置數(shù)據(jù)傳輸給第三方，即違反了蘋(píng)果的政策。

目前，用戶(hù)可以避免使用那些出于惡意目的收集用戶(hù)數(shù)據(jù)的應(yīng)用程序，也可以使用蘋(píng)果的內(nèi)置工具來(lái)控制哪些應(yīng)用程序可以訪問(wèn)位置數(shù)據(jù)。

當(dāng)被問(wèn)及這份新研究報(bào)告時(shí)，蘋(píng)果尚未對(duì)此進(jìn)行評(píng)論。(一舟)