据CyberNews独家研究的消息,无论是Booking、Airbnb、希尔顿还是丽笙,这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。
CyberNews称,这些应用都会获知用户的位置信息,但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据,某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件,甚至代表用户拨打电话。
CyberNews分析了22款目前被广泛使用的旅行和酒店订阅类软件,这些软件在Google Play 商店上已获得至少百万次的下载量。虽然这些应用Google Play列出了所需权限及相关声明事项,但研究人员对此并不信任,认为这些可通过软件开发人员手动填写。某些应用不仅没有披露收集了用户的敏感数据,而且似乎也没有正当理由收集这些数据。
通过排名发现,Booking、MakeMyTrip 和 HotelTonight 是数据收集方面的终极“冠军”。
旅行类应用涉及数据采集权限数量的排名
研究人员检查了这些应用的内置权限,发现这些权限基本上允许开发人员访问用户设备上的敏感信息,例如位置、联系人、相机、麦克风和短信等。“一个设计良好的应用程序应该只请求对其功能至关重要的权限,因此用户在授予应用程序权限时应始终谨慎行事,并仔细查看它们。不幸的是,我们的调查显示情况并非总是如此,“安全研究员Mantas Kasiliauskis说道。
虽然旅行应用程序主要用于预订酒店和安排接送服务,但有些应用程序显然可以阅读短信,甚至更改设备设置。“请求敏感权限的应用程序,特别是与设备系统文件和配置相关的应用程序是一个危险的信号,可能表明潜在的恶意意图或糟糕的代码设计,”Kasiliauskis表示。
在用户定位上,所调查的22款的应用都可以访问用户的精确位置,包括纬度和经度坐标,该权限虽然是为了获得用户的精确位置来提供更好的服务,但也会被用来记录用户活动并了解其生活和工作地点。这些数据对于提供个性化广告或进一步销售这些数据的公司来说是一个宝库,如果恶意攻击者访问该数据,用户可能会面临安全威胁。
有权获取位置信息的应用
在22 款被调查的应用中有14款会访问设备的摄像头进行拍照、录制视频和视频通话,其中有10款未在应用商店中披露与相机相关的数据搜集权限。这些应用可能会在未经用户同意的情况下执行此操作,从而损害用户的隐私和安全。
有权访问相机的应用
一些应用程序具有特别危险的访问权限,能够读取手机状态,使其能够识别用户和设备。
此权限允许提取各种用户标识符,例如国际移动设备标识 (IMEI)、国际移动用户标识 (IMSI)、电话号码、设备序列号和 SIM 卡的唯一标识符。
一个重要的问题是,酒店预订和租赁应用程序没有正当理由向用户请求此类权限,即使不需要这些权限应用也能正常运行。通常,此类权限仅授予系统应用或使用平台密钥签名的应用,因为它们允许访问敏感设备信息。
研究人员还注意到,名为MakeMyTrip的应用可以读取存储在设备上的整条短信,包括有关发送方和接收方以及消息日期的信息。这类应用几乎没有任何理由需要阅读用户的短信,因为其中可能包含用户的敏感信息。
有权读取手机状态的应用
在研究的22款应用中有14款可以读取和写入外部存储,而 Hopper 只能读取存储在设备中的文件。只有3款应用程序在收集“文件和文档”方面相对透明,其余的应用决定对收集文件相关数据的权利保持沉默。
访问设备存储的权限是敏感的,因为它使应用能够访问、写入、修改或删除外部存储(包括 SD 卡和其他外部媒体)上的数据。对设备存储的访问可能包括用户文件,例如照片、视频、文档和其他机密信息。如果此类数据处理不当或恶意行为者访问它,可能会导致潜在的数据丢失和隐私泄露。
有权读取手机文件的应用
在经过测试的 22 款应用中,有 3 款(Hotwire、Trip.com 和 MakeMyTrip)有权访问设备的麦克风并录制音频。
Trip.com在应用商店中披露,它收集语音和录音。相比之下,MakeMyTrip 和 Hotwire 没有透露音频相关数据的收集,但访问麦克风的权限内置于这些应用中。如果被恶意利用,“录制音频”权限可能会导致未经授权的监视,捕获敏感对话和个人信息。
有3款应用——MakeMyTrip、Hilton Honors 和 Hopper会要求读取用户设备的联系人列表,这对于此类应用而言也是非必要项。
联系信息是敏感的,可能包含有关朋友、家人、同事和熟人的私人数据,包括姓名、电话号码、电子邮件地址和其他联系方式。如果滥用,此权限可能会导致不必要的数据抓取、用户隐私侵犯,甚至数据利用以制定各种欺诈计划。
MakeMyTrip、希尔顿和 Trip.com会在不告知用户的情况下访问用户设备上的消息和通话。具有此权限的应用可以代表用户发送短信和拨打电话,如果被滥用可能会导致隐私泄露和欺诈性垃圾邮件通信。
Airbnb旗下的住宿预订应用HotelTonight可以请求用户访问设备上的挂载和卸载文件系统。文件系统是操作系统 (OS) 的组成部分。它组织文件和目录,跟踪它们的位置,并维护有关文件的元数据,确保高效的数据检索和存储。该软件的此项权限允许在系统级别操作和修改文件,可能会导致严重的安全风险。
该应用专为希尔顿酒店和度假村的预订管理和会员计划而设计,有权访问设备的系统级组件。此权限允许应用请求系统关闭任何打开的系统对话框,包括关键用户界面 (UI) 组件,例如通知栏、最近使用的应用屏幕和电源对话框。虽然此权限主要由设备系统使用,但处理不当可能会导致应用强制关闭系统对话框并干扰设备 UI 的正常操作。
目前,被调查的部分应用已给出回应,MakeMyTrip称这些权限是可选的,并且“仅在应用程序的特定流程和功能中”请求;万豪旅享家称位置数据改善了用户在搜索或浏览酒店预订和提供路线时的体验,同时摄像头访问允许用户扫描信用卡并将其添加到他们的应用程序帐户配置文件中,这些权限都非默认设置,需基于用户的许可;Trivago也表示,激活定位功能需经用户同意。
Kayak和Momondo则表示不清楚为何在Google Play上没有充分列出软件的权限信息,并会对此展开调查。
敏感权限滥用可能会对用户造成潜在的有害后果。隐私侵犯是最重要的风险之一,因为具有风险权限的应用程序可以在未经适当同意的情况下访问敏感信息。权限处理不当也会危及数据安全,使用户数据容易受到未经授权的访问、身份盗用或数据泄露。
此外,滥用权限或消耗过多资源的应用可能会对设备性能产生负面影响,从而导致速度变慢、崩溃或电池耗尽。
Cybernews 建用户议在允许访问之前始终查看权限请求,注意那些对于应用的预期功能来说似乎不必要的权限,并可通过导航到“应用程序管理器”或“应用程序”来管理和撤消相应的权限。
参考来源:
Top travel apps harvesting your data without asking – Cybernews exclusive