過去一周,iOS應用領域發生了一起重大事件,移動社交網絡Path被曝在未經用戶明確許可的情況下,上傳iPhone通訊錄里的數據。打開并注冊Path應用之后,Path就會自動上傳用戶的聯系人信息,以查找想要聯系的好友。Path隨后對此做出道歉,但是這起事件暴露出來的問題依舊存在。
簡單而言,任何一款iOS應用都可以完全讀取存儲在iPhone里的大量數據,包括你的通訊錄和日程表。任何一款iOS應用都可以在未經用戶許可的情況下將存儲在手機里的通訊錄信息上傳到服務器。由此可見,應用開發商既可以利用這些數據尋找你的好友,永久存儲這些信息,也可以任何處置這些信息。
過去一天,我們一直在利用阿倫·泰姆皮(Arun Thampi),即Path侵犯用戶隱私行為的發現者提供的方法,調查多款流行的iOS應用。我們的發現應當令所有iPhone用戶松一口氣的同時引起一些警覺。
我們認為這是一個需要不斷進展的項目,我們要檢測各種應用,以確定哪些應用上傳用戶數據。
下面是我們的一些發現:
檢測方法
檢測一款應用是否將數據上傳到服務器的方法很簡單,即觀察它正在發送的所有數據。可以在電腦上建立一個程序,追蹤所有進出的數據,進而將iPhone上傳的所有數據都經由你的電腦,而非直接連接到Wi-Fi路由器或運營商。
在幾乎所有檢測過程中,數據都經過了一定的加密,通過安全的HTTPS連接上傳,而非不安全的HTTP連接方式。大多數情況下,數據是通過post命令來提交,也有一些情況下通過get命令提交。
這是一種很笨的檢測方法,它需要對每例數據都進行檢測,同時意味著有時我們無法看到所有發送的數據,并有可能在追蹤過程中發現一些不確定的變化因素。例如,盡管Dragon Dictation明確警告用戶稱它正在上傳聯系人姓名,但我們卻無法通過標準程序追蹤到這一過程。 上一頁1 2345 下一頁
推薦閱讀
中國商務部發言人周四稱,商務部反壟斷局正對谷歌125億美元收購摩托羅拉移動的交易進行審查。美國和歐洲監管機構已批準谷歌收購摩托羅拉移動,并表示會密切關注谷歌動向,確保通信業關鍵專利的授權價格合理。 【IT商>>>詳細閱讀
本文標題:蘋果iOS數十萬款應用竊取用戶通訊錄數據
地址:http://m.sdlzkt.com/a/01/20121229/102013.html
網友點評
精彩導讀
科技快報
品牌展示