从不同国家下载的应用程序会带来更高的隐私风险

已发表: 2022-10-02

应世界各国政府的要求,谷歌和苹果已从其应用商店中删除了数百个应用。

通过这样做,在许多经济体越来越依赖移动应用程序的时候,该公司在访问移动应用程序方面造成了地区差异。

近年来,应印度政府的要求,这两家手机巨头已经下架了 200 多个中国应用程序,其中包括 TikTok 等被广泛下载的应用程序。

同样,这些公司应俄罗斯政府的要求,从俄罗斯应用商店中删除了职业社交必不可少的应用 LinkedIn。

但是,访问应用程序只是一个问题。 开发人员还将应用程序区域化,这意味着他们为不同的国家/地区生产不同的版本。

iPhone上的应用程序
图片:不飞溅

这就提出了一个问题,即这些应用程序的安全和隐私功能是否因地区而异。

在一个完美的世界中,对应用程序的访问以及应用程序的安全和隐私功能将在任何地方保持一致。

应该可以使用流行的移动应用程序,而不会增加用户被监视或根据他们所在的国家/地区进行跟踪的风险。

特别是考虑到并非每个国家/地区都有严格的数据保护法规。

我和我的同事最近在 26 个国家/地区研究了 Google Play(Android 设备的应用商店)上数千个全球流行应用的可用性和隐私政策。

我们发现应用程序可用性、安全性和隐私方面存在差异。

虽然我们的研究证实了因政府要求而被删除的报告,但我们也发现了应用程序开发人员引入的许多差异。

我们发现一些应用程序的设置和披露会使用户面临更高或更低的安全和隐私风险,具体取决于下载所在的国家/地区。

地理封锁的应用程序

手持智能手机的人,显示 Instagram 等应用程序
图片:不飞溅

我们研究的国家和一个特别行政区在地理位置、人口和国内生产总值上是不同的。

它们包括美国、德国、匈牙利、乌克兰、俄罗斯、韩国、土耳其、香港和印度。 我们还包括伊朗、津巴布韦和突尼斯等难以收集数据的国家。

我们研究了 5,684 个全球流行的应用程序,每个应用程序的安装量都超过 100 万次,这些应用程序来自前 22 个应用程序类别,包括书籍和参考书、教育、医疗以及新闻和杂志。

我们的研究显示了大量的地理封锁,在我们 26 个国家/地区中的至少一个国家/地区的 5,684 个全球流行应用程序中,有 3,672 个被封锁。

在我们所有国家/地区和应用类别中,开发者的屏蔽率明显高于政府要求的删除率。

我们发现伊朗和突尼斯的屏蔽率最高,Microsoft Office、Adobe Reader、Flipboard 和 Google Books 等应用程序均无法下载。

紫色背景上的应用程序不同国家/地区下载屏幕
图片:KnowTechie

我们发现受地域限制的应用程序存在区域重叠。 在我们研究的欧洲国家——德国、匈牙利、爱尔兰和英国——有 479 个相同的应用程序被地理封锁。

其中八个,包括 Blued 和 USA Today News,仅在欧盟被屏蔽,可能是因为该地区的通用数据保护条例。

土耳其、乌克兰和俄罗斯也表现出类似的屏蔽模式,土耳其和俄罗斯对虚拟专用网络应用程序的屏蔽率很高,这与最近兴起的监控法是一致的。

在谷歌针对特定国家/地区的 61 项下架中,36 项是韩国独有的,其中 17 款是根据国家禁止在线赌博的规定下架的赌博和游戏应用程序。

虽然印度政府下架中国应用程序是在完全公开披露的情况下发生的,但令人惊讶的是,我们观察到的大多数下架事件都没有引起太多公众意识或辩论。

安全性和隐私性的差异

我们从 Google Play 下载的应用程序的安全性和隐私功能也因国家/地区而异。

127 个应用程序被允许在用户手机上访问的内容各不相同,其中 49 个具有被谷歌视为“危险”的额外权限。

巴林、突尼斯和加拿大的应用程序请求最危险的额外权限。

三个 VPN 应用程序可以在某些国家/地区实现明文通信,从而允许未经授权访问用户的通信。

在某些国家/地区,118 个应用程序中包含的广告跟踪器数量各不相同。

类别包括游戏、娱乐和社交,与所有国家通用的基线数量相比,伊朗和乌克兰的广告跟踪器数量增幅最大。

一百零三个应用程序的隐私政策因国家/地区而异。

数据保护法规未涵盖的国家/地区的用户(例如欧盟的 GDPR 和美国的加利福尼亚消费者隐私法)面临更高的隐私风险。

例如,Google Play 提供的 71 款应用程序有条款仅在欧盟遵守 GDPR 和仅在美国遵守 CCPA

尽管 Google 的政策要求它们这样做,但有 28 个使用危险权限的应用程序没有提及它。

应用商店的作用

应用商店允许开发人员根据广泛的因素(包括他们的国家和设备的特定功能)将他们的应用定位到用户。

尽管谷歌在其应用商店的透明度方面采取了一些措施,但我们的研究表明,谷歌对应用生态系统的审计存在缺陷。

其中一些可能会使用户的安全和隐私受到威胁。

也可能由于某些国家/地区的应用商店政策,专门针对世界特定地区的应用商店越来越受欢迎。

但是,这些应用商店可能没有足够的审查政策,从而允许更改版本的应用程序接触到用户。

例如,国家政府可能会迫使开发人员提供包含后门访问的应用程序版本。

用户没有直接的方法来区分更改后的应用程序和未更改的应用程序。

我们的研究为应用商店所有者提供了一些建议,以解决我们发现的问题:

  • 更好地调整他们的国家/地区定位功能
  • 提供有关应用删除的详细透明度报告
  • 根据国家或地区审查应用程序的差异
  • 推动开发人员对差异需求的透明度
  • 自行托管应用程序隐私政策,以确保在某些国家/地区阻止政策时其可用性

对此有什么想法吗? 将讨论转移到我们的 Twitter 或 Facebook。

编辑推荐:

  • 研究人员揭示了他们如何检测 deepfake 音频——这就是如何
  • 家庭机器人仆人还有很长的路要走——这就是为什么
  • FTC 诉讼暴露了重大隐私风险,这是你手机的错
  • Twitter 是否将其用户的安全置于危险之中?

编者注:本文由 Renuka Kumar 博士撰写。 密歇根大学计算机科学与工程专业的学生,​​并根据知识共享许可从 The Conversation 重新发布。 阅读原文。