當我們在安卓手機中禁止掉某APP的位置權限後，大家一定會理所當然的覺得該應用監測不到我們的位置了，但是研究人員表示，成千上萬的應用程序已經找到了欺騙Android權限管理的方法，這些應用會悄悄将手機的唯一标識碼和足夠的定位數據發送到自己的服務器，以此來實現對用戶的定位。

這些應用是如何獲取到定位數據的呢？研究人員表示，雖然我們對某一應用禁止了定位權限，但是該應用可以去向其他已被授權獲取位置信息的應用索要位置信息，某些應用程序甚至直接将所獲取到的位置信息保存在共享存儲區，導緻其他應用可以直接讀取，甚至是惡意程序也可讀取到。有時這兩個應用程序可能毫無關聯性，但為何他們能商量好共享位置信息呢？研究人員表示，這是因為他們使用了相同的軟件開發工具包（SDK）構建的，所以他們有一套自己的規則去共享位置信息，另外有證據表明SDK所有者正在接收這些應用所獲得的定位。

根據在PrivacyCon 2019上發表的一項研究表明，一家名為Salmonads的公司開發的SDK開發工具包，他首先将用戶數據存儲在本地，然後将用戶的數據從一個應用分享給另一個應用程序（以及他們的服務器）。

除此之外，該團隊還發現了許多側信道漏洞，其中一些漏洞可以将用戶網卡的MAC地址、路由器接入點、SSID等一些唯一的标識碼發送至自己的服務器。國際計算機科學研究所（ICSI）安全和隐私小組的研究主任塞爾格·埃格爾曼（Serge Egelman）在PrivacyCon上展示這項研究時表示，“這些唯一标識碼是位置數據的一個很好的替代品”這些數據可以間接用于實現定位。

根據相關研究人員的說法，他們已于去年9月向谷歌通報了此漏洞，該問題将在Android Q 中有所修複。然而這可能對大部分無法獲得Android Q 更新的設備毫無幫助。（截至今年5月，隻有10.4％的Android設備安裝了最新的Android P，超過60％的設備仍在近三年的Android N上運行。）

研究人員認為谷歌應該做得更多些，同時在安全更新中推出修補程序，因為它不應該隻是保護新手機買家而置老用戶于不顧。“谷歌公開聲稱隐私不應該是奢侈品，但這似乎就是這裡發生的事情，”埃格爾曼說。

谷歌拒絕就具體漏洞發表評論，但它向The Verge證實，Android Q默認會隐藏照片應用中的地理位置信息。（責任編輯：Kensin）

關注藍點網頭條号不迷路，Windows 10、科技資訊、軟件工具、技術教程，盡在藍點網。藍點網，給你感興趣的内容！感謝打賞支持！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!