北京时间2月15日消息,美国科技新闻网站The Verge高级编辑迭特·波恩(Dieter Bohn)周二发表文章,介绍了大量iOS应用上传用户通讯录数据行为的调查结果,对此类数据上传行为进行了分类,并指出Facebook充当了数据保护者的角色,而要真正保护用户数据,还需要更加完善的技术措施。
以下为迭特·波恩文章主要内容:
过去一周,iOS应用领域发生了一起重大事件,移动社交网络Path被曝在未经用户明确许可的情况下,上传iPhone通讯录里的数据。打开并注册 Path应用之后,Path就会自动上传用户的联系人信息,以查找想要联系的好友。Path随后对此做出道歉,但是这起事件暴露出来的问题依旧存在。
简单而言,任何一款iOS应用都可以完全读取存储在iPhone里的大量数据,包括你的通讯录和日程表。任何一款iOS应用都可以在未经用户许可的情况下将存储在手机里的通讯录信息上传到服务器。由此可见,应用开发商既可以利用这些数据寻找你的好友,永久存储这些信息,也可以任何处置这些信息。
过去一天,我们一直在利用阿伦·泰姆皮(Arun Thampi),即Path侵犯用户隐私行为的发现者提供的方法,调查多款流行的iOS应用。我们的发现应当令所有iPhone用户松一口气的同时引起一些警觉。
我们认为这是一个需要不断进展的项目,我们要检测各种应用,以确定哪些应用上传用户数据。
下面是我们的一些发现:
检测方法
检测一款应用是否将数据上传到服务器的方法很简单,即观察它正在发送的所有数据。可以在电脑上建立一个程序,追踪所有进出的数据,进而将iPhone上传的所有数据都经由你的电脑,而非直接连接到Wi-Fi路由器或运营商。
在几乎所有检测过程中,数据都经过了一定的加密,通过安全的HTTPS连接上传,而非不安全的HTTP连接方式。大多数情况下,数据是通过post命令来提交,也有一些情况下通过get命令提交。
这是一种很笨的检测方法,它需要对每例数据都进行检测,同时意味着有时我们无法看到所有发送的数据,并有可能在追踪过程中发现一些不确定的变化因素。例如,尽管Dragon Dictation明确警告用户称它正在上传联系人姓名,但我们却无法通过标准程序追踪到这一过程。
