“预先安装的应用程序的Android生态系统是隐私和安全问题”

在一项学术研究中，分析了214家供应商销售的1,742部安卓高端智能手机上预安装的82，501个APP应用，结果发现预安装的APP应用与安全性和隐私相关

研究人员表示，这些预装的APP应用程序大多开箱后即可访问，因此可以收集客户的相关数据并发送给广告主。 此外，还存在着经常无法修复的安全漏洞。

最重要的是，不能删除多个预安装的APP (也称为bloatware )，以及使用第三方库从外观良好、名称纯正的APP应用中秘密收集客户数据。

迄今为止，该研究是同类研究中最多、最复杂的项目，包括设备固件、应用行为、应用生成的网络流量的分解。

第三方图书馆

研究人员首先发现的是，在多个预装的APP中继续采用第三方库(或软件开发工具包-sdk )。

虽然使用sdk简化基本任务的编码在web、桌面和移动开发社区中很常见，但研究人员表示，最常见的第三方库与广告和客户跟踪有关。

研究小组发现，从约12，000个APP中发现了164个不同的广告sdk，从约7，000个APP中发现了其他100个不同的拆解库。

这表明，自客户打开新的安卓高端智能手机以来，大量预装APP从一开始就在跟踪客户。

证书问题

研究小组还发现了数百个预安装的APP应用，这些应用带有自签名证书或颁发者域，其中包括诸如Android ( 115 APP )和Android Debug ( Android Debug ) 42 APP域等常用术语。

由于采用了这种类型的通用证书，调查人员无法再找到正在测试的设备中开发tse APP的人。

此外，预安装的APP应用程序上还签署了adups、accuweather、gmobi等属于已知从事客户跟踪的企业的证书。

权限

研究人员还研究了这些预装APP的权限，特别是定制权限。

自定义权限是指手机制造商在安卓上设定的权限级别。 供应商将创建自定义权限方案，为批量安装或首选APP提供对各种操作系统功能的批量访问。

定制权限的详细分解包括手机提供商、“移动互联网运营商”、分解服务(度娘、ironsource、数字Turbine和facebook等)、在线服务( skype、Lilie )。

此外，还发现了易受攻击模块(如mediatek )和与有害服务(如adups )相关的自定义权限。

此外，研究人员还发现了6个不同版本的Facebook APP应用，其中3个从未通过官方谷歌play商店提供。

根据客户投诉，其中两个包( com.facebook.appmanager和com.facebook.system )是其他脸书软件，如Instagram客户的手机( 1，2 )。

但是，除了自定义权限外，研究人员还发现，多个APP可以访问太多的标准权限。 预装的APP不一定采用这些权限，理论上也是未来滥用的入口。

例如，55个预安装的APP应用程序被授予100多个权限，一个APP应用程序( com.cube26.coolstore )具有144个权限，另一个APP应用程序) com.jrd com.em

研究人员表示，在也内置有第三方sdk的APP中，最常见的权限是读取系统日志的权限，其次是在存储空之间安装/卸载的能力和其他APP安装

公开的APP组件

学者们还研究了预装的APP应用。 这些APP通过称为意图的安卓APP间通信机制，将其内部组件公开给其他APP应用。

据研究人员称，在分解出的82，501个APP中，6，849个内部组件向安装在同一设备上的其他APP公开进行外部查询，并将其所有功能和权限向固有低特权的APP公开。 也就是说，是可以调查的攻击媒体。

客户数据收集

研究小组还仔细整理了3，118个预安装的APP应用程序，并分析了它们的APP应用程序的行为和访问的数据。

根据他们的发现，大多数预安装的APP应用程序被编码为具有访问设备日志、获取本地安装的APP应用程序列表、获取internet设置或执行本机代码的功能

另外，研究者们研究了这些应用与那些行业进行通信。 这个查询的结果并不令人惊讶。 因为大多数预安装的APP应用程序都将报告给广告和分解供应商，如alphabet (谷歌母公司)、facebook和amazon。

研究人员普遍认为，大多数可以访问和收集客户数据的APP应用程序都积极采用这种访问权限将数据发送到第三方服务器。

我们还关注了硬件和互联网指纹识别功能的例子。 这些术语一般在设备功能一词下收集，有些APP可以跟踪。 特别是cnbc、the daily beast、彭博、技术、经济学人等信息APP。 研究人员说。 更具侵入性的行为包括能够收集和发送电子邮件和电话元数据的APP。

预装恶意软件

研究小组的解体又揭示了一点极端的情况。 例如，研究人员在一些设备的系统分区中发现了已知的恶意软件实例。 这些实例大多在低端高端智能手机上，但也在一些高端智能手机上。

研究人员发现了近年来流行的著名安卓恶意软件家族的变体，包括triada、rootnik、snowfox、xinyin、ztorg、iop和gmobi开发的可疑软件。

他还在redstone sunshine technology co .，ltd .开发的fota (用固件空下载)更新机制中发现了秘密数据收集服务。

收集并向该APP发送数十个数据项，包括客户和设备标识符、行为新闻(与短信收发的电话数量、互联网流量相关的统计新闻)、招聘情况统计新闻和预装的性能新闻包 研究人员这样说。 他强调，收集的数据不仅非常广泛，而且与多个客户和设备的身份相关，与匿名性相差甚远。

最后，最不重要的是，包括工厂/工程相关代码在内的612个预安装APP可以非常深入地访问设备及其操作系统。

研究人员表示，工厂/工程相关的功能大多是硬件测试等无害的，但其代码之一也可以将设备作为根。

研究论文

如本文所述，这种情况是由于滥用特权(如预装的恶意软件)和软件工程的不良实践引起的，甚至影响到了客户的隐私、安全漏洞和危险的后门程序 研究小组总结了安卓预装APP的状态。

他们补充说:“尽管经过了整整一年的努力，我们还是只能处理更大的问题。” 因此，我们希望这项工作具有探索性，越来越关注预装安卓软件的生态系统及其对客户隐私和安全的影响。

关于他们正在研究的越来越详细的新闻，学术论文`` 预装的安卓软件的分解'； '； 这篇论文将在2019年5月下旬的ieee安全与隐私研讨会上发表。

本文：《“预先安装的应用程序的Android生态系统是隐私和安全问题”》