2024 年巴黎奥运会的应用程序正在跟踪用户、提取私人数据,并将其出售给广告商和大型科技公司。此外,它们的能力超出了宣称的范围。
巴黎 2024 年奥运会应用程序的下载量已超过 1000 万次,它将成为奥运会的私人伴侣,提供日程安排、突发新闻、奖牌结果、赛事见解、预选赛等内容。
它还会收集您的数据,例如您的网页浏览历史记录,并将其发送给广告商。它会请求多个危险的权限,从而窃取您可能隐藏在 Android 手机上的最深层秘密。
国际奥委会 (IOC) 公开承认其收集个人数据、建立用户档案并与包括 Facebook、谷歌、苹果或 X 在内的广告商共享数据。IOC 告诉 Cybernews,需要获得多项许可才能提供“最佳体验”。
而这只是巴黎游客在奥运会期间需要的工具之一。Cybernews 研究团队选择了 12 款与巴黎奥运会参与者相关的 Android 应用。
安全研究员 Mantas Kasiliauskis 表示:“我们发现,这些旨在帮助您在奥运会期间使用的应用程序在 Google Play 商店中少报了其数据收集范围,要求过多的危险权限,并与广告商共享敏感用户数据。”
奥运会期间告别隐私
法国首都已经准备好了人工智能视频监控来监控
人群
。然而,你口袋里的东西更能说明你的情况。
首先,我们分析了应用开发者在 Google Play Store 上自称的“数据安全”声明。这些声明虽然不能反映出全部情况,但已经揭示了冗余的数据收集做法。
Bonjour RATP 是一款用于游览巴黎、购买交通票和查找路线的旅行应用,是该榜单中耗费数据最多的应用。数据安全部分显示,它从 38 个可能的数据点中收集了 18 个数据点,并将其中大部分数据与第三方共享。
Bonjour RATP 不仅会收集精确的位置数据以实现其功能,还会出于广告、防欺诈、安全和合规等目的共享用户的位置。该应用在 Android 上的下载量已超过 1000 万次。
欧洲领先的餐厅预订平台 TheFork 收集了 15 个数据点,并将几乎所有数据点都发送给第三方。该应用开发商声称,甚至电子邮件地址和电话号码也会被共享用于广告或营销目的。
Citymapper 是另一款下载量超过 1000 万次的城市交通应用程序,它收集了 14 个数据点,但在声明的共享目的中没有提到广告。
接下来是奥运会官方应用程序,每个应用程序需要 9-11 个数据点。
国际奥委会出于广告目的开发的巴黎 2024 年奥运会应用程序将分享用户的网页浏览历史、电子邮件地址、设备和其他 ID。
由政府机构开发的巴黎 2024 公共交通应用程序将共享姓名、电子邮件和应用程序活动。安全性和合规性、欺诈预防、功能性、广告和分析都是其声明的目的。
有些应用声称它们不收集数据。然而,Cybernews 研究人员发现它们需要一些最危险的权限。
例如,利益相关者体验和访问工具 (SEAT) 是一款适用于巴黎 2024 的新应用,旨在为奥运会中特定的认证利益相关者提供支持。它声称不收集任何数据。但是,它要求用户授予危险权限,以读取和写入外部存储、读取和写入联系人、检查和更新日历以及访问设备上的媒体文件。
即便是 PinQuest,一款发现和测试奥运知识的有趣游戏,也会请求访问相机和文件的权限,即使它声称不收集任何用户数据。
如果安装,这 12 个应用程序的完整套件可以从 38 个可能的数据点中获取 24 个数据点。根据声明,开发人员不会收集有关健康、种族和民族、政治或宗教信仰、性取向、短信、照片或录音、文件、联系人或其他数据。
然而,Cybernews 的研究人员发现,同样的应用程序会要求危险的权限,并可以收集更多信息。
有些应用程序隐藏他们想要的危险权限
在所分析的 12 款应用中,有 3 款声称会收集精确的位置数据。然而,研究团队发现,还有 3 款应用会请求获得权限来获取你的精确经纬度:巴黎 2024 年奥运会、巴黎 2024 年公共交通和巴黎 2024 年交通认证。
国际奥委会的隐私政策涵盖了两款应用程序,该政策用英文明确指出,其收集的是“一般位置信息”。法语版的同一项政策甚至更多地提到了
在
注册和创建账户期间收集位置数据。
巴黎 2024 年公共交通应用背后的政府机构
解释说
,该应用“可以通过手机访问您的地理位置”,以提供导航、活动地点信息和个性化推荐等服务。该应用不会存储数据。
“位置数据是提供场地导航、活动地点信息和基于用户位置的个性化推荐等服务所必需的。数据可能会保留在设备上。但是,如果服务受到损害,用户可能会面临数字和物理威胁,”Kasiliauskis 说。
一半的应用程序想要通过摄像头查看、访问存储
最广泛使用的危险权限是存储访问,在 12 个测试应用中有 7 个请求了该权限,这意味着应用想要读取和写入设备上的文件。允许该权限可能很危险,因为它允许应用检查和修改文件,包括 SD 卡等外部媒体上的文件。
“通常,应用程序需要存储访问来缓存数据,例如地图、下载的交通时刻表、用户偏好等,”Kasiliauskis 解释道。
所分析的应用程序中,有一半还想要访问您的相机,这意味着它们可能会在未经额外许可的情况下拍照和录制视频。
“摄像头有许多合法用途,例如扫描机票二维码或信用卡、验证、自拍、报告问题和捕捉精彩瞬间。保持警惕并确保摄像头仅用于所述有用目的而非恶意用途非常重要,”我们的研究人员表示。
三款应用程序需要获得与 NFC 标签通信的权限,这可能对于票务和公共交通系统等特定功能有用。
两款应用请求录制音频的权限,这可能有助于用户通过命令与应用交互。但是,如果被利用,此权限可用于未经授权的监视或未经同意的营销。
所有应用程序开发商均未向谷歌声明他们收集视频和录音,但有三款应用程序声明他们收集照片。
“一般的经验法则是最小特权原则——如果没有明显需要,就不要授予权限。如果不再需要权限,就撤销它。应用程序应该只需要其功能所需的基本权限。然而,多名研究人员透露,他们经常要求过多的权限,”Kasiliauskis 说。
巴黎 2024 年奥运会应用程序所需的权限数量可能不合理
作为奥运会门户的巴黎 2024 年奥运会应用程序需要组合危险的权限。
精确定位、摄像头、录制音频、读取媒体图像和视频、修改音频设置,甚至访问高采样率传感器,可用于跟踪详细的用户活动和动作。
结合应用程序收集的个人信息,这可以描绘出用户的非常详细的图像。
国际奥委会在其隐私政策中确认,这些数据将与 Facebook、Google 和 Twitter 共享。以下是国际奥委会计划使用用户信息的一些用例:
-
开展粉丝及观众分析等营销活动。
-
分析您与国际奥委会服务的互动以及您与第三方网站、服务和广告的互动。
-
建立您的个人资料以及您的兴趣和浏览活动。在建立用户个人资料时,国际奥委会可能会将他们收集的有关您的数据与我们从其他组织收到的数据结合起来。
-
分析或预测您的个人情况的某些方面,例如您的喜好和兴趣,并将其附加到您的个人资料中。
-
通过我们的服务或其他组织管理的平台提供相关广告和其他内容(包括营销信息)。
-
在服务上、在 Google、Facebook、YouTube 和 Twitter 等第三方服务上以及在国际奥委会合作的其他组织的网站和服务上展示和衡量广告。
完整的权限列表(包括无害但仍然有风险的权限)包含数十个条目。
理论上,如果使用了所有这些权限,该应用将在手机重启后自动启动并在后台运行,跟踪精确位置。它可以录制音频和视频,访问并上传其他照片和视频。
其他功能包括监控附近的蓝牙设备、访问个人信息(包括位置历史记录、网络和 Wi-Fi 连接详细信息)、访问高采样率传感器数据以及控制设备的设置(如音频和振动)。
权限允许该应用防止手机进入休眠状态,从而避免电池耗尽。该应用还可以将互联网连接用于自己的目的、发送通知以及独立连接到 Wi-Fi 网络。
