【每日安全资讯】xodus：揭露Android应用的跟踪伎俩

为响应欧盟GDPR条例的精神号召，耶鲁法学院“隐私实验室”（Privacy Lab）与一群自诩“hacktivists”的法国人组建的非营利组织“Exodus Privacy”合伙搞了一个叫“Exodus”（名字来源于犹太人逃出埃及的圣经典故）的项目。简单来说，相当于一个第三方独立运作的Android应用隐私审计平台（可自行搭建）。它会从Google Play自动下载用户指定的Apk，解包，检测其中包含的tracker签名代码，同时在模拟安卓环境中执行应用，分析其整个网络流量，收集目标服务器以及请求数据，最后自动生成在线报告，内容包括App内含潜在的跟踪器、索取的系统权限等等Google官方应用市场并不提供的细节信息。 举例来说，根据我在Exodus平台对官方应用市场现存的几个Web浏览器最新版本的查询分析显示，Google自家的Chrome未发现跟踪器，索取的31个权限中11个具有潜在的隐私隐患；Firefox被检测出4个跟踪器，索要32个系统权限，其中13个具有风险；国产浏览器中，百度的“Du Browser”4个跟踪器，24个权限中9个有风险；遨游“Maxthon”仅检出两段Google自家的跟踪分析代码，24个权限中11个具有隐私风险。虽然这两款国产浏览器都自带展示广告，但其隐私上的表现都要略优于Firefox。我们不能持续地混淆“广告”和“侵犯隐私”两者之间的关系，尤其对于Solidot这样自身并不创造有价值新闻，靠贩卖“隐私至上主义”、游客打赏和展示广告存活的内容农场来说，更是如此。

*来源：solidot.org

更多资讯

◈ 微软披露软件供应链攻击

http://t.cn/RecxeDy

◈ 虹膜扫描仪得到改进可以识别死亡后的虹膜

http://t.cn/RecxFnf

◈ ACLU用国会*照片测试亚马逊面部识别系统准确度 结果尴尬

http://t.cn/RecJhLB

◈ 中远集团美洲计算机网络遭勒索软件攻击

http://t.cn/RecJZ7h

（信息来源于网络，安华金和搜集整理）