直到几年前,您在安卓设备上安装的任何应用程序都可以在未经您允许的情况下查看您手机上的所有其他应用程序。
从 2022 年的 Android 11 开始,谷歌取消了应用程序开发者的这一权限。根据新的软件包可见性政策,应用程序只能在对其核心功能至关重要的情况下才能看到其他已安装的应用程序。开发者还必须在 AndroidManifest.xml 文件中明确声明这些应用程序,这是所有 Android 应用程序的必备配置文件。
对于文件管理器、浏览器或杀毒软件等极其特殊的用例,谷歌允许 QUERY_ALL_PACKAGES 权限,从而提供了对已安装应用的完全可见性。
我的主要手机不是安卓系统,但我有一部备用手机,我很想知道印度公司的哪些应用程序会检查我安装的其他应用程序。
于是,我下载了几十个我能想到的印度应用程序,并开始阅读它们的清单文件。他们肯定会尊重我的隐私,只查询对其应用程序核心功能至关重要的应用程序吧?🙃
值得承认的是,应用程序检查手机上安装了哪些其他应用程序有一些合理的理由。例如,应用程序可能会检查安装了哪些 UPI 应用程序,以显示相关的支付选项。我检查的大多数清单文件都包含对这些应用程序的检查。有些应用程序还检查了应用程序克隆或多账户应用程序,这可能是为了安全和欺诈检测。这些都是可以接受的用例。
但有几家印度公司在这些检查方面做得更多。让我们从 Swiggy 开始。它的清单文件中列出了 154 个软件包名称,让它可以查询我手机上的这些应用程序。以下是完整列表:
我都不知道该从何说起。知道我的手机上安装的是 Xbox 还是 Playstation 应用程序对 Swiggy 的核心功能有什么重要意义?知道我是否安装了 Naukri 或 Upstox 应用程序对他们送货上门有什么帮助?
该列表中的应用程序种类繁多,强烈暗示 Swiggy 正在收集已安装应用程序的数据,用于用户分析和建立客户行为档案。这似乎违反了 Play Store 的政策,因为该政策认为已安装应用程序的列表是个人敏感用户数据。
这让我想起了 Blume Ventures 的那份 ppt–居住在班加罗尔某些邮政编码下的蓝勾 twitter 账户每年都会热烈讨论一周的那份 ppt。它有一张关于不同印度人使用的应用程序的有趣幻灯片:
Swiggy 可以在你的手机上查询大部分这些应用程序,甚至更多。它不仅知道你属于哪个印度,还能准确定位你在其中的位置。
现在让我们来谈谈另一款应用程序,它就是惯常的 “嫌疑犯”,无可争议的 “混蛋设计冠军”–Zepto。他们列出了 165 个要在设备上检查的应用程序。
从 Netflix 到 Bumble 再到 Binance,这份名单几乎囊括了所有类别的热门应用。最近有报道称,Zepto 为 iOS 和 Android 用户显示了不同的价格。在这些数据的帮助下,他们还可以针对不同的安卓手机显示不同的价格,一些用户已经看到了这一点。
尽管 Swiggy 和 Zepto 必须在清单文件中声明要查询这些应用程序,但作为用户,当你从 Play Store 下载它们的应用程序时,却无法看到这份清单。
我还分析了 Swiggy 和 Zepto 外卖骑手的应用程序。它们的应用程序查询列表与消费者应用程序不同。这两款应用都包括检查外卖骑手还为哪些公司工作。下面是 Zepto 的列表:
但 Swiggy 更进一步,它还会检查外卖骑手手机上的个人贷款应用程序、个人理财应用程序,甚至是 Ludo King 或 Carrom Pool 等应用程序。
难道我们就不能安安静静地玩鲁多游戏而不被雇主监视吗?就连停机时间也需要被 Swiggy 跟踪吗?令人尴尬的是,Swiggy 认为有必要在外卖骑手的手机上加入这些荒谬的应用程序查询。
说到印度的个人贷款应用程序,它们的掠夺性做法有据可查。几年前,印度对此类应用进行了大规模打击,导致数千款此类应用从 Play Store 上架。我查看了一些仍然存在的应用程序。
Kreditbee 被列为 Play Store 个人贷款领域的顶级应用之一,下载量超过 5000 万。你能相信他们的应用程序会检查你手机上是否安装了 860 个应用程序吗?860!!! 很抱歉,您可能需要眯着眼睛或放大一点才能看到这个列表。
我只是略微浏览了一下这份清单–应用程序实在是太多了。我希望看到这篇文章的人能做个透彻的分析。可能是因为我生活在泡沫中,我甚至都没听说过这些应用程序中的大多数。尽管它们中的大多数都有数千万的下载量。
除了常规类别外,我还看到了泰米尔日历、奥迪亚日历、Qibla 方向查找器、曼蒂尔应用程序、占星术应用程序等应用程序的检查。他们知道自己在做什么。
还有 “Jodii for Diploma, +2,10 below”,这是一款为高中未毕业的人设计的婚恋应用程序。它的下载量已超过 1000 万次。
还有 “गाय भैंस खरीदें बेचें Animall”(奶牛买卖市场?
这份应用程序清单是了解印度大部分人如何使用手机–他们的日常生活、习惯和优先事项–的一个窗口。
另一款下载量超过 5000 万次的领先个人贷款应用程序 Moneyview 在其清单文件中包含了对 944 款应用程序的检查,这在我检查的所有应用程序中是最高的。我没有将其列入本文章,您可以在这里阅读完整列表。
我很惊讶 KreditBee 和 Moneyview 应用程序能通过 Play Store 的审核。Play Store 政策明确限制个人贷款应用程序使用 QUERY_ALL_PACKAGES 权限。但这些应用程序绕过了这一限制,而是在清单文件中单独列出了它们想要检测的每款应用程序。
我发现只有一个清单文件具有高风险和敏感的 QUERY_ALL_PACKAGES 权限,它就是 Cred。如果应用程序有 “可验证的核心目的是促进涉及金融监管工具的金融交易”,Play Store 会给予 “临时例外”,允许包含此权限。
但我分析过的与 Cred 处于同一细分市场的其他应用程序(如 PhonePe 或 PayTM)的清单文件中都没有这项权限。事实上,Cred 还提供个人贷款,而根据 Play Store 的个人贷款政策,它不符合这一例外规定。我不知道 Cred 是如何被允许保留这一权限的,因为它可以在不披露任何信息的情况下查看您手机上的所有应用程序。
我阅读了大约 50 个印度公司流行应用程序的清单文件。除了 Swiggy、Zepto、Cred 和几款个人贷款应用外,大多数应用的查询列表都相当合理,也很受尊重。
看来我的预期更糟。也许我对这些应用程序太愤世嫉俗了–它们真的是好人吗?🙃
在我准备结束这项工作时,我在浏览其中一个应用程序的清单文件时注意到了几行有趣的内容:
[...]
[...]
我不是 Android 开发方面的专家,但据我所知,上述配置中的 “ACTION_MAIN ”过滤器允许查看所有已安装的应用程序,简单地说,就是有屏幕的应用程序。
由于大多数已安装的应用程序都在前台运行,并且有用户界面,因此该过滤器允许开发人员查看手机上的所有应用程序,而不需要 QUERY_ALL_PACKAGES 权限!
为了确保万无一失,我编写了一个基本的 Android 应用程序,并在清单文件中添加了相同的 “ACTION_MAIN ”过滤器。当我查询已安装的软件包时,不出所料,这个小黑客竟然返回了我手机上所有应用程序的列表!!!这似乎是一个巨大的隐私漏洞!
这似乎是安卓系统中一个巨大的隐私漏洞。Play Store 肯定会拒绝使用这种黑客的应用程序,因为这公然违反了他们商店的用户数据政策。
在我随机分析的 47 个印度应用程序中,有 31 个使用了 “ACTION_MAIN ”过滤器–让他们可以在不透露任何信息的情况下查看你手机上的所有应用程序。也就是说,每 3 个应用程序中就有 2 个。
使用这种黑客手段的应用程序:
Astrotalk、Axis Mobile、Bajaj Finserv、BookMyShow、Cars24、Cure. fit、Fibe、Groww、Housing、Instamart、Ixigo、JioHotstar、KreditBee、KukuTV、LazyPay、Ludo King、Meesho、MoneyTap、Moneyview、Navi、NoBroker、Nykaa、Ola、PhonePe、PhysicsWallah、Slice、Spinny、Swiggy、Swiggy Delivery、Tata Neu 和 Zomato。
不使用此黑客的应用程序:
Airtel Thanks、Blinkit、Byju’s、MyGate、Dream11、Flipkart、HDFC Mobile、Healthify、INDmoney、MyJio、Paytm、PaisaBazaar、ShareChat、Unacademy、Vedantu、Zepto
甚至连该死的 Ludo King 也在其清单文件中加入了这一功能。因此,大多数印度公司实际上都能看到你手机上的所有应用程序–只是他们比 Swiggy 和 Zepto 等公司做得更隐蔽罢了。好人也不过如此。
事实上,Swiggy 也配置了这种过滤器,但它仍然选择明确列出它所查询的应用程序,而它本可以像其他公司一样悄悄地闭门进行查询。但我并不抱怨。他们的这一疏忽让我们看到了 Swiggy 的数据收集行为。如果谷歌能正确执行这一政策,我们或许也能对其他公司有类似的了解。
我阅读的所有清单文件都在我的 Github 中。大多数文件都是在 3 月 18 日或 19 日下载的。
印度公司的应用程序并非只使用了这种黑客手段。我检查了其他一些流行应用程序的清单文件。Facebook、Instagram、Snapchat、Subway Surfers 和 Truecaller 都有这种配置。而亚马逊、Spotify、X、Discord 和 WhatsApp 则没有。除了这些,我没有进一步调查。
这让我不禁要问,谷歌软件包可见性政策的初衷是什么?它本应保护用户,但大多数应用程序似乎都找到了绕过它的方法。
而安装的应用程序数据是非常敏感和个人的。2022 年,Vice 报道称,就在 “罗伊诉韦德案”(美国联邦政府保护堕胎权)可能被推翻的消息传出后,一个名为 “叙述”(Narrative)的数据市场正在出售下载了经期跟踪应用程序的用户数据。想一想都觉得可怕。
安装的应用程序数据只是一个数据点。每一个应用程序都在其清单文件中包含了大量的权限,这些权限往往远远超出了必要的范围,这是另一个可以让别人打开的漏洞。
最后,我将以 Zepto 的一个小例子来结束这篇文章。他们要求获得 READ_SMS 权限。你可以拒绝,但如果你注册了 Zepto Postpaid,这是必须的。
当您授予权限时,他们会在您的收件箱中检查发件人 ID 列表:
其中大部分是银行的 TRAI 发件人 ID。他们读取这些信息很可能是为了检查邮政付费计划的资格。即使您从未选择过,他们也能读取这些信息。再看看他们是如何从 Blinkit、Swiggy、Bigbasket、Flipkart 等公司偷偷植入短信的。
他们的竞争对手可能也在做同样的事情,只是没有在应用程序本身留下如此明显的证据痕迹。
问题的关键在于,当任何应用程序获得类似 READ_SMS 这样的权限时,作为用户,我们根本无法知道它在什么时候访问了什么内容。
请记住,当你下次随意在安卓设备上安装一个应用程序时,这些信息就会被传播到全世界。数据经纪人会利用这些信息对你进行分析,并与其他广告网络中关于你的数据进行交叉引用,最终决定你下次点餐时需要支付多少钱。
元素周期表抱枕