联盟旨在使用户更多地控制其设备上出现的应用程序
隐私国际呼吁Google对预装的Android软件采取行动 - 此举可能会在多方利益相关者移动应用程序景观中引发变化。
在一封信Privacy International上周由人权运动小组和其他50多个非营利组织组成的联盟表示,移动供应商被允许以Android品牌名称出售包含剥削软件的智能手机。
Privacy International表示,某些预安装的应用程序未经许可就收集用户数据,并且由于其购买成本较低,因此通常针对脆弱人群。
信函指出:“这些预安装的应用程序可以具有特权的自定义权限,使[开发人员]在Android安全模型之外运行。”
“这意味着可以通过应用程序定义权限 - 包括访问麦克风,相机和位置 - 而无需触发标准的Android安全提示。
它补充说:“因此,用户完全对这些严重的入侵处于黑暗状态。”
膨胀软件安全危险
Android操作系统(OS)的开放性质意味着任何设备供应商都可以修改平台的某些方面以满足其产品需求。这包括选择在消费者手机中预装哪些应用程序的功能。
其中许多应用程序 - 例如捆绑的应用程序Google移动服务(GMS) - 受益于消费者并协助手机的功能。
但是,多种情况表明了Android供应链中的安全不一致。
例如,在2017年,安全公司检查点软件技术发现,Loki恶意软件已被预装在由两家不同公司制造的36个Android设备中。
Check Point说,Loki不包括在未命名的供应商提供的官方阅读内存中,被伪装成广告软件,并且能够窃听用户数据并在受感染设备上升级特权。
据报道,折衷的模型包括三星Galaxy S7,LG Nexus 5和ZTE X500。
检查点在博客文章当时。
“此外,接收已经包含恶意软件的设备的用户将无法注意到设备活动的任何更改,一旦安装了恶意软件,通常会发生任何更改。”
跳过围墙的花园
根据最近的论文(PDF)探索预装的Android软件市场,研究人员认为,研究的预装应用程序中只有9%出现在Google Play,这是Android的官方App Store。
该论文说:“商店中预安装的应用程序的存在很低表明,这种类型的软件可能已经避免了研究界的任何审查。”
研究人员还暗示了该技术巨头的应用程序恶意软件扫描仪的Google Play和Google Play Protect的无与伦比的安全检查,因为在平台上公开的预装应用程序会获得频繁的更新。
该报道说:“有74%的非公共应用程序似乎没有更新,其中41%的应用程序被未及格5年或更长时间。”
“如果其中一个应用程序中存在漏洞,则用户可能会保持风险,只要他们继续使用该设备。”
该研究于2019年5月发布,分析了来自200多个供应商的Android预装软件,研究了App第三方服务,许可和恶意软件的存在等因素。
该论文说:“总体而言,Android开源模型周围的供应链缺乏透明度,并促进了潜在的有害行为以及未经用户同意或意识的敏感数据和服务的访问。”
将控制权交给用户
预安装的应用程序通常称为“膨胀软件”,由应用程序开发人员或制造商定义,并考虑到该安全准则Android开源项目。
使用Google已安装的应用程序套件运送的任何设备 - Play商店,YouTube,Gmail等 - 通过The Play Play Prays Prote Protection通过Android认证合作伙伴计划。
International坚持认为,应为用户从其设备中删除预装的应用程序和背景服务的选项,尤其是因为有害应用程序在整个开发过程中都在各个方面进行了Android安全检查。
“我们正在专门研究Google的认证合作伙伴,该合作伙伴是Google认证并允许使用Play Provey和Android品牌来帮助他们出售电话的公司。”每日swbeplay2018官网ig。
“从本质上讲,我们希望人们能够控制手机上的内容。”
从设备中删除预安装的软件,目前要求用户扎根智能手机,这会自动失效其保修,并可以打开门更大的安全风险。
每日swbeplay2018官网ig已与Google联系以进行评论。
