iOS应用窃取通讯录调查：行为泛滥 明知故犯

FerityWolf

iOS应用窃取通讯录调查：行为泛滥 明知故犯

2012年02月15日23:46 腾讯科技 小贝

iOS应用窃取通讯录调查（腾讯科技配图）

腾讯科技讯（小贝）北京时间2月15日消息，美国科技新闻网站The Verge高级编辑迭特·波恩（Dieter Bohn）周二发表文章，介绍了大量iOS应用上传用户通讯录数据行为的调查结果，对此类数据上传行为进行了分类，并指出Facebook充当了数据保护者的角色，而要真正保护用户数据，还需要更加完善的技术措施。

以下为迭特·波恩文章主要内容：

过去一周，iOS应用领域发生了一起重大事件，移动社交网络Path被曝在未经用户明确许可的情况下，上传iPhone通讯录里的数据。打开并注册Path应用之后，Path就会自动上传用户的联系人信息，以查找想要联系的好友。Path随后对此做出道歉，但是这起事件暴露出来的问题依旧存在。

简单而言，任何一款iOS应用都可以完全读取存储在iPhone里的大量数据，包括你的通讯录和日程表。任何一款iOS应用都可以在未经用户许可的情况下将存储在手机里的通讯录信息上传到服务器。由此可见，应用开发商既可以利用这些数据寻找你的好友，永久存储这些信息，也可以任何处置这些信息。

过去一天，我们一直在利用阿伦·泰姆皮（Arun Thampi），即Path侵犯用户隐私行为的发现者提供的方法，调查多款流行的iOS应用。我们的发现应当令所有iPhone用户松一口气的同时引起一些警觉。

我们认为这是一个需要不断进展的项目，我们要检测各种应用，以确定哪些应用上传用户数据。

下面是我们的一些发现：

检测方法

检测一款应用是否将数据上传到服务器的方法很简单，即观察它正在发送的所有数据。可以在电脑上建立一个程序，追踪所有进出的数据，进而将iPhone上传的所有数据都经由你的电脑，而非直接连接到Wi-Fi路由器或运营商。

在几乎所有检测过程中，数据都经过了一定的加密，通过安全的HTTPS连接上传，而非不安全的HTTP连接方式。大多数情况下，数据是通过post命令来提交，也有一些情况下通过get命令提交。

这是一种很笨的检测方法，它需要对每例数据都进行检测，同时意味着有时我们无法看到所有发送的数据，并有可能在追踪过程中发现一些不确定的变化因素。例如，尽管Dragon Dictation明确警告用户称它正在上传联系人姓名，但我们却无法通过标准程序追踪到这一过程。

可恶的入侵者

一种非常糟糕的情况是，一款应用上传用户的通讯录数据，但是即没有通知用户，也没有一个明显的按键来说明这种情况的发生。在进行更新之前，Path应用就属于这种类型。问答服务网站Hipster也存在这一问题，而且更糟糕的是，这款应用通过不安全的HTTP来进行数据上传，也就是将用户的整个通讯录数据置于不安全的URL当中，运营商可以轻易地看到这些数据。

到目前为止，我们发现大多数自动上传数据的应用都有一个看似合理的原因，即查找好友信息。当然，也有一些应用在没有合理原因的情况下抓取并上传用户通讯录信息，手机地理位置应用Foursquare就是其中之一。用户注册一个新的Foursquare账户之后，这款应用就会将通讯录信息上传至服务器。当然，此举也是为了寻找好友，但是显然没有给用户提供选择的余地，也没有发出任何的警告。这是一个严重的问题。

Foursquare已经承认了这个问题的存在，并通过应用更新纠正了这一问题，通过一个弹出通知解释数据上传行为。

典型案例

其它一些应用虽然上传用户通讯录，但是会在用户点击应用的某个命令之后进行上传。有的应用会在上传联系人信息时弹出一个对话框，发出明确的警告信息，也有的应用只是在点击类似于“寻找好友”之类的命令之后启动上传。我们将这两种应用区别对待。在后一种情况下，用户都会明确要求应用进行定位，但是实际上没有必要将所有通讯录信息上传。

有一些典型的案例，Twitter、Facebook和LinkedIn应用都会上传用户数据，但是都会在用户点击某个按键后启动这一过程。手机地理位置社交网络应用Gowalla也会在用户点击“寻找好友”和“通讯录”之后，在没有明确警告的情况下上传电子邮件地址。

用户点击Twitter应用上的某个按钮后会启动数据上传（腾讯科技配图）

美食发现应用Foodspotting情况更加糟糕。尽管用户在经过数次点击，直到点击“追踪他人”之后才会启动上传过程，但它通过不安全的HTTP连接上传信息。Foodspotting表示将通过软件更新解决这一问题。

游戏应用也是一个不太明显的类别。我们发现，一些游戏会在用户点击某个按钮之后，在没有明显通知的情况下上传联系人信息。这是一些与Chillingo旗下Crystal游戏服务相关的游戏，包括《愤怒的小鸟》和《Cut-The-Rope》。在这些情况下，用户需要经过一些复杂的步骤才能将游戏与Crystal网络相连接，但一旦连接，就会出现一个“通过联系人发出邀请”的按钮，以及一个更加具有误导性的描述“向本地联系人发出邀请”。也有一些游戏应用会内置iOS对话框来选择联系人。这样，Chillingo游戏就可以上传用户的通讯录信息，并提供一些名字来匹配应用的感观。尽管这种方法存在问题，但通常隐藏在应用设置的深处，大多数用户不愿深入发掘。

尽管这些应用不会马上带来问题，因为它需要用户与应用互动后才上传数据，但这仍然是一个紧迫的问题。目前尚不清楚这些被上传的数据会如何使用，大多数应用也没有明确表示是否保留这些数据、是否将其提供给第三方，或者是否会在用户完成好友搜索后删除数据。

我们检测过的大多数应用都会上传iPhone手机上其它一些可以泄露身份信息的数据，包括手机独一无二的UDID识别码，以及用户通过iPhone建立iTunes账户时输入的“姓名”。

简而言之，这些应用开发商可以轻易获知你是谁，你认识谁，但我们却不知道他们如何使用这些信息。

明确警告

另一类应用是那些明确警告用户上传通讯录的应用。尽管很多应用直到最近才这样做，但这种做法值得赞扬。Path和Hipster是两个最典型的例子，Instagram也属于其中之一。

Hipster明确警告用户即将上传通讯录信息（腾讯科技配图）

Instagram也会对上传通讯录数据的行为提出明确警告（腾讯科技配图）

阅读应用Instapaper则是另外一例子，该应用不仅明确告知用户即将上传信息，而且应用开发者马尔科·阿尔门特（Marco Arment）还进一步解释了他的安全和数据保留政策。阿尔门特还与其他人一起呼吁苹果，要求应用开发者同样透明。

尽管屡次弹出对话框会令用户烦恼，也会使用户养成无论什么对话框都选“是”的习惯，但这应当成为一种准则。

数据隐私保护者

有一家公司在保护用户通讯录不被上传方面做出了比其它公司更多的努力，而且这家公司的名字令人感到意外：Facebook。原因很简单：很多应用利用Facebook来识别和连接用户的好友。不少应用开发商不再亲自上传和匹配通讯录，而是选择嵌入Facebook的开放图谱。

一些游戏尤其值得关注。我们检测的所有Zynga游戏显示，Zynga与Facebook紧密相连，因此无需直接上传用户本地通讯录信息，即便用户直接通过Zynga注册，而非通过Facebook平台注册。

现在，这些数据给Facebook带来了很多隐私问题，但Facebook比独立的应用开发者吸引了更多的关注。另外，用户通常会认为Facebook好友是更加公开的数据类型，这有助于缓解隐私担忧。在数据隐私保护领域，Facebook是出人意料的白衣骑士，Twitter也在好友连接功能方面获得了赞誉。

还有一些应用出乎意料地没有上传用户的通讯录信息，这包括Pinterest、Skype、Flipboard、Shazam、Pandora、Rdio、Meebo、Netflix、Google+、TripIt和Color等。我们没有发现这些应用上传通讯录信息的情况。

政策规定与技术手段

当前需要指出的是，首先，这个问题并不仅仅局限于苹果，但苹果最应当加强应用选择，保护用户。事实上，苹果自己的App Store应用商店指南从2010年起就明确禁止这种行为：

17.1条：应用不得在未经用户提前许可、告知用户这些数据如何使用、传输至何处的情况下传输用户数据。

17.2条：要求用户共享电子邮件地址、出生日期等个人信息才能投入使用的应用将被拒绝。

然而，甚至苹果也无法全面审查每一款应用是否上传信息，应用商店政策规定并不是有效的解决方法。

临时的技术解决方法就是应用开发者在上传这些通讯录信息之前先进行匿名处理，但同时可以应用于社交联系。这是一种聪明且可行的解决方法，但是仍然需要应用开发者的参与。

另外一个解决方法是接受Facebook近乎垄断的社交联系图谱，并信任Facebook平台上的应用。尽管目前来看这是一个务实的方法，但应当有更好的方法，而不是把所有数据都交给马克·扎克伯格（Mark Zuckerberg）。

合理的技术解决方法和是由iOS限制所有应用读取通讯录数据，这样任何一款应用在读取这些数据前都要获得用户的明确许可。苹果已经在地理位置信息方面采取了这样的措施。当然，这种方法有可能破坏一些应用的功能，并使用户产生之前提到过的“警告疲劳”，但与潜在的隐私风险相比，这都不能称之为问题。正如前面所说，现有的数十万款iOS应用都可以读取你的通讯录信息，而你却毫不知情，也从未允许。

FerityWolf

值得注意了。