從不同國家下載的應用程序會帶來更高的隱私風險

已發表: 2022-10-02

應世界各國政府的要求,谷歌和蘋果已從其應用商店中刪除了數百個應用。

通過這樣做,在許多經濟體越來越依賴移動應用程序的時候,該公司在訪問移動應用程序方面造成了地區差異。

近年來,應印度政府的要求,這兩家手機巨頭已經下架了 200 多個中國應用程序,其中包括 TikTok 等被廣泛下載的應用程序。

同樣,這些公司應俄羅斯政府的要求,從俄羅斯應用商店中刪除了職業社交必不可少的應用 LinkedIn。

但是,訪問應用程序只是一個問題。 開發人員還將應用程序區域化,這意味著他們為不同的國家/地區生產不同的版本。

iPhone上的應用程序
圖片:不飛濺

這就提出了一個問題,即這些應用程序的安全和隱私功能是否因地區而異。

在一個完美的世界中,對應用程序的訪問以及應用程序的安全和隱私功能將在任何地方保持一致。

應該可以使用流行的移動應用程序,而不會增加用戶被監視或根據他們所在的國家/地區進行跟踪的風險。

特別是考慮到並非每個國家/地區都有嚴格的數據保護法規。

我和我的同事最近在 26 個國家/地區研究了 Google Play(Android 設備的應用商店)上數千個全球流行應用的可用性和隱私政策。

我們發現應用程序可用性、安全性和隱私方面存在差異。

雖然我們的研究證實了因政府要求而被刪除的報告,但我們也發現了應用程序開發人員引入的許多差異。

我們發現一些應用程序的設置和披露會使用戶面臨更高或更低的安全和隱私風險,具體取決於下載所在的國家/地區。

地理封鎖的應用程序

手持智能手機的人,顯示 Instagram 等應用程序
圖片:不飛濺

我們研究的國家和一個特別行政區在地理位置、人口和國內生產總值上是不同的。

它們包括美國、德國、匈牙利、烏克蘭、俄羅斯、韓國、土耳其、香港和印度。 我們還包括伊朗、津巴布韋和突尼斯等難以收集數據的國家。

我們研究了 5,684 個全球流行的應用程序,每個應用程序的安裝量都超過 100 萬次,這些應用程序來自前 22 個應用程序類別,包括書籍和參考書、教育、醫療以及新聞和雜誌。

我們的研究顯示了大量的地理封鎖,在我們 26 個國家/地區中的至少一個國家/地區的 5,684 個全球流行應用程序中,有 3,672 個被封鎖。

在我們所有國家/地區和應用類別中,開發者的屏蔽率明顯高於政府要求的刪除率。

我們發現伊朗和突尼斯的屏蔽率最高,Microsoft Office、Adobe Reader、Flipboard 和 Google Books 等應用程序均無法下載。

紫色背景上的應用程序不同國家/地區下載屏幕
圖片:KnowTechie

我們發現受地域限制的應用程序存在區域重疊。 在我們研究的歐洲國家——德國、匈牙利、愛爾蘭和英國——有 479 個相同的應用程序被地理封鎖。

其中八個,包括 Blued 和 USA Today News,僅在歐盟被屏蔽,可能是因為該地區的通用數據保護條例。

土耳其、烏克蘭和俄羅斯也表現出類似的屏蔽模式,土耳其和俄羅斯對虛擬專用網絡應用程序的屏蔽率很高,這與最近興起的監控法是一致的。

在谷歌針對特定國家/地區的 61 項下架中,36 項是韓國獨有的,其中 17 款是根據國家禁止在線賭博的規定下架的賭博和遊戲應用程序。

雖然印度政府下架中國應用程序是在完全公開披露的情況下發生的,但令人驚訝的是,我們觀察到的大多數下架事件都沒有引起太多公眾意識或辯論。

安全性和隱私性的差異

我們從 Google Play 下載的應用程序的安全性和隱私功能也因國家/地區而異。

127 個應用程序被允許在用戶手機上訪問的內容各不相同,其中 49 個具有被谷歌視為“危險”的額外權限。

巴林、突尼斯和加拿大的應用程序請求最危險的額外權限。

三個 VPN 應用程序可以在某些國家/地區實現明文通信,從而允許未經授權訪問用戶的通信。

在某些國家/地區,118 個應用程序中包含的廣告跟踪器數量各不相同。

類別包括遊戲、娛樂和社交,與所有國家通用的基線數量相比,伊朗和烏克蘭的廣告跟踪器數量增幅最大。

一百零三個應用程序的隱私政策因國家/地區而異。

數據保護法規未涵蓋的國家/地區的用戶(例如歐盟的 GDPR 和美國的加利福尼亞消費者隱私法)面臨更高的隱私風險。

例如,Google Play 提供的 71 款應用程序有條款僅在歐盟遵守 GDPR 和僅在美國遵守 CCPA

儘管 Google 的政策要求它們這樣做,但有 28 個使用危險權限的應用程序沒有提及它。

應用商店的作用

應用商店允許開發人員根據廣泛的因素(包括他們的國家和設備的特定功能)將他們的應用定位到用戶。

儘管谷歌在其應用商店的透明度方面採取了一些措施,但我們的研究表明,谷歌對應用生態系統的審計存在缺陷。

其中一些可能會使用戶的安全和隱私受到威脅。

也可能由於某些國家/地區的應用商店政策,專門針對世界特定地區的應用商店越來越受歡迎。

但是,這些應用商店可能沒有足夠的審查政策,從而允許更改版本的應用程序接觸到用戶。

例如,國家政府可能會迫使開發人員提供包含後門訪問的應用程序版本。

用戶沒有直接的方法來區分更改後的應用程序和未更改的應用程序。

我們的研究為應用商店所有者提供了一些建議,以解決我們發現的問題:

  • 更好地調整他們的國家/地區定位功能
  • 提供有關應用刪除的詳細透明度報告
  • 根據國家或地區審查應用程序的差異
  • 推動開發人員對差異需求的透明度
  • 自行託管應用程序隱私政策,以確保在某些國家/地區阻止政策時其可用性

對此有什麼想法嗎? 將討論轉移到我們的 Twitter 或 Facebook。

編輯推薦:

  • 研究人員揭示了他們如何檢測 deepfake 音頻——這就是如何
  • 家庭機器人僕人還有很長的路要走——這就是為什麼
  • FTC 訴訟暴露了重大隱私風險,這是你手機的錯
  • Twitter 是否將其用戶的安全置於危險之中?

編者註:本文由 Renuka Kumar 博士撰寫。 密歇根大學計算機科學與工程專業的學生,並根據知識共享許可從 The Conversation 重新發布。 閱讀原文。