IMDEA研究所警告说，Android用户的安全性和隐私风险来自预装软件的阴暗生态系统

据悉，对预先安装的Android应用程序进行的大规模独立研究已经成为人们关注预装软件给谷歌开发的移动平台用户带来的隐私和安全风险的关键焦点。
该论文背后的研究人员在未来的IEEE安全与隐私研讨会上发表了初步形式，发现了一个复杂的玩家生态系统，主要关注广告和“数据驱动服务” – 他们认为普通的Android用户不太可能不知道(同时也可能缺乏卸载/逃避软件对数据和资源本身的特权访问的能力)。
这项研究由马德里卡洛斯三世大学(UC3M)和IMDEA网络研究所的研究人员与美国伯克利国际计算机科学研究所(ICSI)和纽约石溪大学(美国)合作开展。据IMDEA研究所称，在214个品牌生产的1,700多种设备中，包含超过82,000个预安装的Android应用程序。
“该研究表明，一方面，Android操作系统及其应用程序的权限模型允许大量参与者跟踪和获取个人用户信息，”它写道。 “与此同时，它揭示了最终用户并未意识到Android终端中的这些参与者或这种做法可能对他们的隐私产生的影响。此外，如果一个人不是专家用户，系统中存在这种特权软件就很难消除它。“
可以预装在某些Android设备上的知名应用程序的一个例子是Facebook。
今年早些时候，该社交网络巨头被披露与设备制造商达成了未知数量的协议，以预装其应用程序。虽然该公司声称这些预装只是占位符 – 除非或直到用户选择积极参与和下载Facebook应用程序，Android用户基本上必须采取信任的索赔，无法验证公司的索赔(简短寻找友好的安全研究人员进行流量分析)或从他们的设备本身删除应用程序。 Facebook预加载只能被禁用，而不能完全删除。
该公司的预装有时还包括一些其他Facebook品牌的系统应用程序，这些应用程序在设备上更不可见，其功能更加不透明。
Facebook此前向TechCrunch证实，Android用户无法删除任何预装的Facebook系统应用程序。
“Facebook使用Android系统应用程序来确保人们拥有最佳的用户体验，包括可靠地接收通知和拥有最新版本的应用程序。这些系统应用程序仅支持Facebook系列应用程序和产品，默认设置为关闭，直到一个人开始使用Facebook应用程序，并且可以随时禁用，“Facebook发言人本月早些时候告诉我们。
但社交网络只是众多参与Android支持的庞大，不透明和看似相互关联的数据收集和交易生态系统的公司之一，研究人员开始着眼于此。
在他们检查的数据集中找到的预安装软件以及超过11,000个第三方库(SDK)中，确定了1,200名开发人员。许多预装应用程序被发现显示研究人员称有潜在危险或不良行为的内容。
支持他们分析的数据集是通过众包方法收集的 – 使用专用应用程序(称为固件扫描程序)，并从Lumen Privacy Monitor应用程序中提取数据。后者通过从用户获得的匿名网络流元数据为研究人员提供了移动流量的可见性。
他们还抓取了谷歌Play商店，将他们对预装应用程序的调查结果与公开发布的应用程序进行比较 – 发现其数据集中只有9%的软件包名称在Play上公开编入索引。
另一个涉及发现涉及许可。除了在Android中定义的标准权限(即可以由用户控制)之外，研究人员还表示，他们在设备的制造和分发中识别了不同参与者超过4,845个所有者或“个性化”权限。
因此，这意味着他们发现了系统的用户权限解决方案，这些解决方案是在非透明数据驱动的背景Android软件生态系统中削减的大量商业交易。
“这种类型的许可允许在Google Play上宣传的应用程序逃避Android的权限模型以访问用户数据，而无需在安装新应用程序时征得他们的同意，”IMDEA写道。
该研究的最重要结论是围绕Android开源模式的供应链的特点是缺乏透明度 – 这反过来又使生态系统得以发展。