안드로이드 앱이 권한 거부 후에도 사용자 데이터를 수집하고 있습니다

1,000개 이상의 안드로이드 앱이 허가 없이 당신의 데이터를 수집하고 있습니다

새로운 연구에 따르면 구글 플레이 스토어에서 제공되는 1,000개 이상의 안드로이드 앱이 메시지, 통화 기록, 사진 등과 같은 개인 데이터를 훔치기 위해 권한을 위반했습니다.

연구를 수행한 UC 버클리의 국제 컴퓨터 과학 연구소(ICSI) 연구원들은 미국 구글 플레이 스토어에서 88,000개의 앱을 테스트했으며, 1,325개의 앱이 지리적 위치 데이터 및 전화 식별자와 관련된 정보를 수집했습니다.

관련 - 최고의 무료 안드로이드 앱 10개

연방 거래 위원회(FTC) 웹사이트에 발표된 이 연구는 삼성 헬스, 삼성 브라우저, 셔터플라이 및 디즈니의 홍콩 디즈니랜드 앱을 포함한 153개의 앱이 명시적인 권한 없이 데이터를 수집했다고 언급했습니다.

“현대 스마트폰 플랫폼은 민감한 데이터 및 시스템 리소스에 대한 접근을 보호하기 위해 권한 기반 모델을 구현합니다. 그러나 앱은 권한 모델을 우회하고 사용자 동의 없이 보호된 데이터에 접근할 수 있습니다.” 연구원들은 광범위한 보고서에서 이렇게 썼습니다.

“권한 시스템 구현에 존재하는 사이드 채널은 앱이 허가 없이 보호된 데이터 및 시스템 리소스에 접근할 수 있게 하며, 은밀한 채널은 두 개의 공모 앱 간의 통신을 가능하게 하여 한 앱이 다른 앱과 권한이 없는 데이터를 공유할 수 있게 합니다. 두 가지 모두 사용자 프라이버시에 위협이 됩니다.”

예를 들어, 연구원들은 사진 편집을 위해 사용되는 사진 공유 웹사이트인 셔터플라이가 모바일 전화에서 GPS 데이터를 수집하고 이를 자체 서버로 전송하고 있음을 발견했습니다. 이는 사용자가 앱의 위치 데이터 접근 권한을 허용했는지 거부했는지와 관계없이 이루어졌습니다.

“많은 사진 서비스와 마찬가지로 셔터플라이는 이 데이터를 사용하여 분류 및 개인화된 제품 제안과 같은 기능으로 사용자 경험을 향상시킵니다. 이는 셔터플라이의 개인정보 보호정책 및 안드로이드 개발자 계약에 따라 이루어집니다.” 회사는 연구에 대한 응답으로 GPS 데이터는 허가를 받은 사용자에게만 수집한다고 밝혔습니다.

홍콩 디즈니랜드의 경우, 앱이 SD 카드를 은밀한 채널로 사용하여 전화의 IMEI 정보를 저장하는 것으로 나타났습니다. 13개의 앱이 이 은밀한 채널을 이용해 IMEI 정보를 얻는 것으로 발견되었으며, 이 앱들은 1,700만 번 이상 설치되었습니다.

“이 발견으로 영향을 받을 수 있는 잠재적 사용자 수는 수억 명에 달합니다. 이러한 기만적인 관행은 개발자가 사용자 동의 없이 개인 데이터에 접근할 수 있게 하여 사용자 프라이버시를 저해하고 법적 및 윤리적 우려를 초래합니다.” 연구원들은 이렇게 썼습니다.

“유럽의 일반 데이터 보호 규정(GDPR), 캘리포니아 소비자 프라이버시 법(CCPA) 및 연방 거래 위원회 법과 같은 소비자 보호법을 포함한 전 세계의 데이터 보호 법률은 모바일 애플리케이션의 데이터 수집, 처리 및 공유 관행에 대한 투명성을 강제합니다.”

작년 9월 구글에 발견 내용을 보고한 연구원들은 일부 문제는 올해 출시 예정인 안드로이드 Q 운영 체제에서 수정될 수 있다고 말했습니다. 이는 안드로이드 Q 업데이트를 받지 못하는 여러 구형 스마트폰 사용자들이 여전히 문제에 직면하게 되어 그들의 기기가 취약해질 수 있음을 의미합니다.

관련 - 마이크로소프트가 안드로이드에 다른 앱을 설치하기 위해 광고를 삽입하고 있습니다

“이러한 관행을 밝혀내고 우리의 데이터를 공개함으로써 규제 기관이 집행 조치를 취할 수 있는 충분한 데이터와 도구를 제공하고, 산업이 앱을 출시하기 전에 문제를 식별하고 수정할 수 있도록 하며, 소비자가 사용하는 앱에 대해 정보에 입각한 결정을 내릴 수 있도록 하기를 희망합니다.” 연구원들은 이렇게 말했습니다.

연구원들은 구글이 이러한 프라이버시 문제를 심각한 보안 취약점으로 간주하고 권한 기능을 업그레이드해야 한다고 제안합니다.

또한 읽기 - 안드로이드 스마트폰을 위한 최고의 무료 안티바이러스