对20款流行的iOS安全应用程序进行的法医调查显示,除了降落伞之外,每一款应用程序都会将客户信息发送给数据收集公司,通常用于跟踪、营销、分析和广告。客户信息大多在客户不知情的情况下被发送到数据收集公司,客户无法查看、删除、控制或撤销对其的访问。由于大多数数据收集工具都嵌入到安全应用程序本身中,因此删除cookie或最大限度地设置iOS的隐私设置并不能阻止这种数据收集。这份报告介绍了我们的发现,并分析了这种普遍做法所固有的风险。
今年早些时候,Gizmodo透露,Tinder附属的安全应用“Noonlight”“正在与广告技术公司分享你的数据”。同样,电子前沿基金会(EFF)透露,这款“铃声门铃App[被]塞满了第三方追踪器”。BuzzFeed新闻曝光了“流行的VPN和广告拦截应用程序正在秘密获取用户数据”。“华盛顿邮报”透露,“公民,基于位置的犯罪报告应用程序[.]。反复将我的电话号码、电子邮件和精确的GPS坐标发送到跟踪器振幅“。这种大规模数据收集的影响超出了网络世界,泄露的位置数据与一起残忍的杀人案现场有关。
在接二连三的新闻报道之后,我们决定对我们能找到的20款最受欢迎的iOS安全应用进行法医调查。这些应用程序是根据以下标准选择的:1)它们跻身于谷歌或App Store上安全相关术语搜索结果的前20名;2)它们是人们在紧急情况下可以用来获得帮助的应用程序。因为苹果没有提供每款应用的下载量,所以我们使用评分来对应用的受欢迎程度进行排名。
我们震惊地发现,除了降落伞之外,每一款应用程序都会将客户信息-至少是他们的IP地址-发送到至少一家数据收集公司,通常用于跟踪、营销、广告和分析。我们在下面总结我们的发现,并提供JSON格式的数据供下载。
调查结果包括在使用应用程序期间与第三方服务建立的连接、嵌入到应用程序中的第三方工具以及有问题的做法(粘贴板监听)。
这些安全应用的客户信息正被发送到他们可能从未听说过的数据收集公司,比如“Appboy”和“Kochava”。即使通过深入搜索安全应用程序的隐私政策,他们也很可能无法准确找到谁拥有他们的信息。这些数据收集公司吹嘘他们有能力监视一个人在应用程序内和应用程序之间的一举一动,有些公司甚至声称收集“用户与你的网站或应用程序互动的每一个可以想象到的点”,以及“与你的产品的每一次互动的完整数据集”。每一次点击。每一个水龙头。每刷一次“。
因为这些数据收集工具是内置在应用程序中的,所以即使Cookie被删除,iOS隐私设置达到最大值,也没有办法关闭它们。在某些情况下,即使删除这款应用也无济于事,因为这些公司使用各种技术来确保他们仍然可以唯一地识别人:“消除基于指纹的归属的模糊性,统一零散的数据,向你显示每个客户的全程。”
从表面上看,这些安全应用程序使用关怀和同理心的语言来推销他们的产品。在幕后,他们的应用程序充斥着使用非人性化语言的工具,比如“收集丰富的、细粒度的事件数据,交付到你选择的仓库”,以及“跨设备和平台跟踪你的用户,提高你的行为和人口统计数据的质量”。
发送给这些数据收集公司的信息可能包括个人身份信息,如客户的全名、电子邮件、设备信息、实时位置、电话号码等。然后,每家数据收集公司可以与更多的公司共享这些数据,从而在网络上喷洒客户的信息。
如果这些数据收集公司中的任何一家被攻破,有关客户的信息最终可能会出现在黑暗的网络上。在这种情况下,使用安全应用程序来保护自己免受跟踪者的伤害(安全应用程序的一个非常常见的用例)最终会使他们面临更多的危险,因为跟踪者现在可以利用泄露的数据来更准确地跟踪他们。事实上,在2017年,残忍的三人谋杀案现场与泄露的位置数据有关。如果任何一家数据收集公司收到政府或其他法律程序的传票,客户信息也可能被泄露。
正如电子前沿基金会(Electronic Frontier Foundation)的技术专家班尼特·塞弗斯(Bennett Cyphers)在给Gizmodo的一句话中所说的那样,“那些被迫下载[安全应用程序]的人,正是那些因他们共享的数据而面临最大风险的人”。
安全应用程序可能会声称,一些第三方数据收集公司将他们收集的数据匿名,因此尊重客户的隐私。即使我们假设匿名化是正确的(很可能不是),通过将客户信息与相关数据集相关联来去匿名化客户信息也出人意料地容易。2019年12月,《纽约时报》通过去匿名化数据追踪到了特朗普总统。因为这些数据收集工具直接连接到数据收集公司的服务器来上传他们收集的信息,所以客户的原始IP地址会泄露出去,使得去匿名化变得更加容易。客户的信息是否被匿名、聚合或以任何方式处理都没有什么不同。当他们的信息被发送到数据收集公司时,就会发生信任违约。
广告商可以利用收集的信息来丰富他们在我们每个人身上维护的“影子档案”,这样安全应用的客户和他们家里的人就可以开始看到各种安全产品、自卫课程、胡椒喷雾、家庭暴力资源、书籍等的广告。一旦伴侣开始看到与家庭暴力相关的重复广告,使用安全应用程序来保护自己免受虐待的伴侣(另一个在冠状病毒大流行期间出现增长的非常常见的使用案例)可能会适得其反。安全应用程序中内置的工具可以让广告商知道该应用程序的使用时间和时间,所以使用得越多,这些广告就越有可能显示在他们家里的电脑、手机、电视和其他设备上。无论应用本身是否有广告,客户信息都会发送给广告商(大多数没有)。
典型的装有第三方数据收集工具的应用,如免费游戏和新闻应用,要求最低限度的iOS权限集,通常只是推送通知,所以可以访问的敏感数据的外围应用相对较小。相比之下,安全应用程序需要扩展对高度隐私和敏感数据的权限才能工作。虽然它们因应用程序而异,但包括使用应用程序时的位置访问、全天候后台位置访问(只要手机开机)、全天候背景运动访问(允许应用程序识别客户是在散步、锻炼还是在车中)、相机访问、使用应用程序时的麦克风访问、后台麦克风访问、健康数据访问和全天候后台蓝牙访问。
由于iOS在单个进程中运行应用程序中包含的所有代码,因此不可能在“监禁”或受限环境中加载第三方数据收集代码。这些安全应用程序中嵌入的所有第三方数据收集工具都继承了主机应用程序的iOS权限。其他IOS保护(如沙盒)不适用于此。通常,第三方代码是封闭源代码的,因此即使是应用程序的开发人员也不知道它到底在做什么。第三方代码可以使用方法切换在iOS运行时和应用本身之间插入自身,从而在不被检测到的情况下拦截用户数据。因为跟踪器可以在加载库时运行代码,所以他们甚至可以在主应用程序加载到内存之前运行任意代码。
即使第三方工具不执行任何恶意或秘密活动,因为它享有与应用程序本身相同的iOS权限,第三方代码中的漏洞也可能允许攻击者访问安全应用程序允许访问的全部数据,从而将应用程序变成一个全面的远程控制监控工具。由于第三方代码在多个应用程序之间共享,因此只需
因为安全应用程序享有这样的扩展权限,所以它们是试图通过危害这些应用程序来进行远程监控的政府和“影子实体”的有利可图的目标。第三方工具的加入使这些攻击更加经济,因为攻击者将能够重用第三方工具上的利用向量,而不必单独研究每个应用程序。还有一种可能性是,这些数据收集公司中有一家或多家属于政府实体或与政府实体有关联,或者包含可用于进行远程监控的后门。虽然这听起来像是科幻小说,但这种做法早在20世纪60年代就有记录,最近政府推出了自己的应用程序来监控公民。
在一场没完没了的猫捉老鼠游戏中,第三方追踪者不遗余力地规避iOS的隐私限制,甚至利用iPhone的粘贴板作为跨应用信号的辅助通道,以便对人进行指纹识别,以便在不同的应用程序之间进行跟踪。最近有消息称,TikTok和纽约时报等非常流行的应用程序中包含的跟踪器正在访问粘贴板,想必这些应用程序的开发者甚至都不知道这一点。
事实上,我们自己的分析发现,其中三款安全应用程序“Life360”、“ADT Pulse”和“Noonlight”在发布时以及在应用程序活动期间访问粘贴板,这些应用程序与文本操作完全无关。这使他们有可能访问自上次开机以来复制和粘贴的所有文本、照片、密码和其他敏感数据的整个历史记录。对于通用剪贴板,这可能还包括复制和粘贴到客户Mac上的数据。因为一些应用程序会调出网络浏览器,允许客户登录各种服务或显示内容,它们还可以设置长期跟踪cookie,从而允许跨应用程序持久指纹识别和长期跟踪,即使安全应用程序被删除后也会继续存在。
媒体对第三方追踪器的审查越来越多,这导致数据收集公司寻找替代的、带外的方式来跟踪人。例如,Facebook现在提供离线跟踪,允许企业直接将客户信息发送到Facebook,而不会被客户检测到,因为数据从来不会通过应用程序本身。客户将完全不会注意到他们被跟踪的事实,除非他们非常深入地检查Facebook的隐私设置。上传到谷歌或Facebook的客户名单也达到了类似的效果。
虽然安全应用程序的客户目前可以使用“Charles”这样的应用程序来监控进出应用程序的数据,但CNAME伪装和带外跟踪等规避技术很快就会使第三方数据收集变得不可检测。这使得支持处于这一问题前线的调查性新闻和监督组织(如电子前沿基金会)变得势在必行。通过报道隐私,这些记者冒着自己和他们的出版物被列入黑名单的风险,无法进入这些公司,将他们的生计置于危险之中。记者可以从这些公司内部与举报人沟通,这样他们就可以揭露从外部看不到的事情。
客户还可以在每款应用的记录和历史中寻找危险信号。在一个无法判断应用程序是否将客户信息发送给数据收集公司的世界里,评估每款应用程序的总体精神是很重要的,因为在道德上有问题的过去可能象征着对客户隐私的漫不经心的态度。就在我们写这篇文章的时候,由于冠状病毒(CoronaVirus)大流行而人气上升的会议应用“Zoom”正面临着巨大的反弹,原因是它多年来参与了几次侵犯隐私的行为,并因将客户信息发送到Facebook而提起诉讼。
客户还可以查看每家公司的隐私政策。一款没有清晰明确的简单语言隐私政策的应用程序(这里是我们的)可能会使用晦涩难懂的法律语言来掩盖可疑的做法。这也延伸到应用程序的客户支持服务台如何处理与隐私相关的查询。
开发人员在向代码中添加另一个第三方工具之前应谨慎行事。尤其是对于安全应用程序来说,它们拥有扩展客户数据权限的特权。每增加一个工具都会扩大攻击面,增加数据暴露的风险。只需要一个第三方工具就能以开发人员无法察觉的方式暴露客户的数据。
开发人员尤其应该谨慎对待营利性公司发布的免费第三方代码。由于通过使用免费的第三方工具来卸载硬的、平凡的或乏味的任务是非常诱人的,因此数据采集器通常会将此工具用作特洛伊木马进入其代码库,然后部署额外的跟踪功能。例如,“Crashlytics”最初只是一个简单的崩溃报告库,然后被Twitter收购,然后变成行为分析工具“Fabric”,然后被谷歌再次收购,谷歌现在已经将其整合到更广泛的跟踪工具集中,作为“Firebase”的一部分。同样,Google Analytics解决了跟踪访问者数量的繁琐问题,但也允许Google收集浏览活动,并作为一种低摩擦的方式来实现额外的客户跟踪。
开发者应该清楚地传达他们的应用程序将数据发送给哪些数据收集公司,让他们的客户可以选择购买私人版本,该版本不会将他们的信息发送给数据收集公司,也不会在他们支付了付费服务后继续跟踪他们。
大声点。生命太短暂了,不能只为客户工作,而不能为他们工作。做你引以为豪的工作,而不是羞耻的工作。如果你要向数据收集公司发送信息,这是改变现状的时候了。很有可能,您从一开始就不需要任何这些数据。
许多帮助制造这种利用用户隐私的文化的人在自己的家里使用了一些限制最严格的技术-限制他们的孩子在家里使用技术,等等。不要对你的客户做任何你不想对你自己或你的家人做的事情。像对待家人一样对待你的客户。剥削人们的隐私就是蚕食他们的人性。如果你正在开发一款安全应用程序,这一点就更重要了。对待这些数据就像某人的生命依赖于它一样。因为很有可能。
这项分析只考虑了安全应用程序本身发送的信息,而不是他们的信息网站,除非在使用该应用程序的过程中存在交叉。我们认为,即使是访问安全应用程序的信息网站来了解更多关于应用程序的信息,也可能会造成危害。我们为自己设定了最高标准,梳理了我们的信息公共网站的内容,并进行了以下更改,以消除浏览我们网站时信息泄露的可能性:1)将我们的博客从Medium上移走,并将其托管在parachute.live/blog内部,其中提供的服务没有任何cookie;2)删除了在Vimeo上共享的有关降落伞的信息视频的链接,因为他们正在访问Google Analytics;3)删除了Google Analytics的所有痕迹;4)删除了Google托管的字体,这些字体在访问Google Analytics时共享到Vimeo上;3)删除了Google Analytics的所有痕迹;4)删除了Google托管的字体,这些字体在访问Google Analytics时共享到Vimeo上。请记住,在谷歌上搜索parachute.live而不是直接在浏览器中键入parachute.live访问parachute.live时,谷歌可以看到搜索到的关键字和点击的搜索结果,这可能会危及安全。
为本分析目的而获得的数据完全是通过被动技术获得的,并且以完全符合法律准则和既定法律先例的方式获得。在任何时候,降落伞的研究团队都没有对应用程序或任何“黑客”技术进行任何积极的分析。在本分析过程中,这些应用程序的完整性、安全性和性能都没有受到任何影响。我们的分析过程从头到尾都被记录、记录和证明。全球APP评分由AppFollow于2020年5月4日提供。
降落伞给你的朋友和亲人发短信、电话和电子邮件,并在紧急情况下向他们发送你的实时视频、音频和位置。降落伞决不会将你的任何信息发送给数据收集公司和其他神秘的数据交易商。有关详细信息,请访问parachute.live/Privacy