流動應用程式正在監視你

有部份流動應用程式會追蹤用戶位置,然後暗地裡向出售數據的服務報告,每 16 個人便有 1 人至少有一個類似的 app 而不自知。如果想知道自己是否其中一份子,發現後又應該如何是好?留意文中研究人員的建議吧!

甚麼流動應用程式在追蹤你?
當全球正被疫情困擾之際,Kaspersky 的研究人員 Costin Raiu 則在思考應用程式追蹤用戶位置的事情,他的報告使用了包含來自 X-Mode 的位置數據,而 X-Mode 由從哪裡取得數據呢?原來 X-Mode 發放了一個 SDK,讓開發人員內嵌在他們的應用程式的元件,根據其應用程式的常規使用者數量,向開發人員支付費用,而 SDK 則收集用戶的位置數據,也包括部份智能手機感應器的數據,例如:陀螺儀,然後傳送到 X-Mode 的伺服器,X-Mode 則在收集之後把匿名數據賣給有興趣的人。

X-Mode 自稱 SDK 並不會對耗電量帶來嚴重影響,大約消耗 1 – 3%,所以用戶通常不會發現到 SDK 和不會被它騷擾,而且 X-Mode 聲稱這種方法收集數據完全合法,其 SDK 也符合 GDPR 條例。

超過 240 款程式正在追蹤
Raiu 首先找出追蹤 SDK 使用的 C&C 伺服器的地址,然後監視從他的裝置向外傳輸的流量,如果他智能手機中其中一款應用程式與那些伺服器聯繫,便證明他是被追蹤的一份子。經過逆向工程、解密和嘗試後,他終於找到,並寫下編碼協助他偵測有否應用程式嘗試聯繫那些伺服器,最後他發現使用追蹤 SDK 的某些編碼特徵。

結果他找到超過 240 應用程式內嵌有相關 SDK,而那些應用程式被安裝次數超過 5 億次,假設平均用戶只會安裝那類應用程式一次,這意味著全球每 16 個人中便有 1 人在自己的裝置內安裝了含追蹤功能的應用程式,更甚者,X-Mode 只是在那個行業中的其中一家公司,而且應用程式可以含有超過一個追蹤的 SDK,Raiu 在一個應用程式中發現到其他 5 家公司用來收集位置資料的元件,明顯應用程式開發人員想透過應用程式「賺到盡」,即使它是收費的應用程式,但開發者似乎想從中獲得更多金錢。

如何避免被追蹤?
這些追蹤 SDK 的問題在於用戶下載應用程式時,並不知道含有追蹤位置的元件,應用程式會以合法的理由要求用戶位置,但會否把用戶位置的數據出售便無人能保證。如果具有一定的 IT 知識的用戶想知道自己有否被追蹤,Raiu 製作了 C&C 伺服器的清單,可以在他個人的 GitHub 網頁中找到,透過 RaspberryPi 電腦、P0Hole 和安裝 WireGuard 軟件,可以知道家中網絡和應用程式有否嘗試連線追蹤 SDK 用的伺服器。

至於沒有相關技術的普通人,也可以透過限制應用程式權限以減低被應用程式追蹤的機會:

  • 檢查每個有權限取得用戶位置的應用程式 (方法:AndroidiOS),如果認為有應用程式不需擁有該權限,應該立即提它撤消。
  • 只容正在使用應用程式時取得用戶位置,大部份應用程式在背景運作時無需知道用戶的位置。
  • 刪除不再使用的應用程式,如果你已有一段時間沒有使用該應用程式,例如一個月或以上,便可以假設用戶不需要它,即使將來有需要也可以重新安裝。