超过一半的儿童安卓 app 违反了美国隐私法律

Posted 2021-04-28 代码卫士

 聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

隐私专家们分析了5855款专为儿童设计的安卓 app后发现，超过一半（57%）的 app可能违反了美国儿童网络隐私数据法案《儿童网络隐私保护法 (COPPA)》。

专家表示分析发现了多种令人担心的隐私侵犯现象和趋势：未经同意共享地理位置或联系信息的明确违反法案的行为占4.8%，在未应用合理安全措施的情况下共享个人信息的案例占 40.0%，和第三方共享持续性标识符用于被禁止目的的潜在不合规现象占18.8，以及忽视或无视旨在保护儿童隐私合同义务的现象占39.0%。

研究人员还发现在所测试的 app 中，28款 app 访问了受安卓权限保护的敏感数据以及73%的 app通过互联网传播敏感数据。

来自多所美国大学的隐私专家们在一篇将于今年夏天在西班牙巴塞罗举行的隐私增强技术峰会 (PETS) 发表的论文中指出，总体来看，约57%的为儿童设计的 app 可能违反了 COPPA。

研究人员测试了所有的 Play Store 中的 DFF 应用

研究人员所分析的应用都是谷歌 Play Store “为家庭设计 (DFF)”计划的一部分，该计划仅列出开发人员认为合乎 COPPA 规定的 app，因此至少从理论上来讲，这些 app 不应该存在任何违法情况。

这份研究结果让本以为孩子数据受保护的家长担忧。

SDK 是违反 COPPA 的主要来源

研究人员表示，从分析结果来看多数 app 并未直接违反 COPPA，它们主要是通过 SDK 违反的。SDK 通常都会为 SDK 厂商自动收集这类数据，而有时候父类 app 并不会收集任何数据。

研究团队指出，虽然这些 app 中有很多都会通过提供配置选项禁用追踪和行为广告的方式来遵守 COPPA，但数据分析显示多数 app要么不使用这些选项，要么在SDK 中错误地进行传播。

更糟糕的是，由于具有收集数据的性质，五分之一的所测试 app 中使用的 SDK明确禁止开发人员在专为儿童设计的 app 中使用它的库。

因此这种疏忽只能归因于 app 厂商的三心二意，他们很少关注代码中所使用库的服务条款和隐私策略。

为了帮助家长评估孩子在手机上所使用的 app，研究人员在安卓应用隐私评测网站 AppCensus 上公布了针对所有5855款专为儿童设计的安卓 app 的分析结果。

研究人员还建议谷歌调整提交至谷歌 Play Store 的 DFF 板块的静态和动态分析工具以查找违反 COPPA 的案例。研究人员希望谷歌能通过这种方式抓到具有侵入性质的 app，而不是听信将 app 提交至这个板块的开发人员。

关联阅读

原文链接

https://www.bleepingcomputer.com/news/security/more-than-half-of-android-apps-for-kids-are-violating-us-privacy-laws/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。