关键词 网络安全
谷歌在安卓设备上收集并存储了大量用户数据,即使用户从未打开过任何谷歌应用。这一行为首次由都柏林圣三一学院的 D.J. Leith 教授的研究记录证实,揭示了预装谷歌应用如何在用户不知情或未同意的情况下进行静默追踪。 研究分析了谷歌 Play 服务、谷歌 Play 商店以及其他预装谷歌应用在安卓设备上存储的 Cookies、标识符和其他数据。实验使用了一台运行 Android 14 的 Google Pixel 7,并安装了最新版本的谷歌 Play 服务和谷歌 Play 商店应用。 研究结果显示,谷歌服务器在用户初次使用设备并完成出厂设置后,会立即向设备发送并存储多个追踪标识符。这些标识符包括广告分析 Cookies、追踪广告点击和浏览的链接,以及持久性设备标识符,能够唯一识别设备及其用户。 最令人担忧的是,谷歌在存储这些数据之前并未征求用户同意,且目前没有任何选项可以阻止这种追踪行为。这种行为可能违反了欧盟的数据隐私法规,特别是《电子隐私指令》,甚至可能涉及《通用数据保护条例》(GDPR)。 追踪机制揭秘 研究发现了几种具体的追踪技术。其中,谷歌 Android ID 是一种持久性设备标识符,存储在多个位置,包括 shared_prefs/Checkin.xml,并通过多次连接传输到谷歌服务器。该标识符在用户登录后会关联到其谷歌账户,直到设备恢复出厂设置才会失效。 此外,Google Play 服务数据文件夹中存储了由 googleads.g.doubleclick.net 发送的 DSID 广告分析 Cookies。当用户在谷歌 Play 商店内进行搜索时,搜索结果中的“赞助”链接会包含追踪信息,点击后会通知谷歌。
研究还记录了谷歌在多个应用中使用 NID Cookies、用于 A/B 测试的服务器令牌,以及各种授权令牌,这些令牌实际上是在用户不知情的情况下将其登录到众多谷歌服务中。
此外,研究还观察到设备与 Firebase Analytics 服务器的连接,传输用户的交互数据。 用户几乎无计可施 Leith 教授在研究中指出:“目前,用户对安卓设备上应用存储的数据几乎没有控制权。主要的缓解措施是禁用谷歌 Play 服务或谷歌 Play 商店应用,但对于大多数用户来说,这些选项并不现实。” 来源:https://cybersecuritynews.com/google-silently-tracks-android-device/
安全圈
网罗圈内热点 专注网络安全 实时资讯一手掌握! 好看你就分享 有用就点个赞 支持「安全圈」就点个三连吧! |
