针对电子监控应用生态的首次系统性分析

华盛顿大学和哈佛法学院的研究人员最近发表了一项开创性研究，分析了16款电子监控 (EM) 智能手机应用程序的技术能力，这些应用程序被用作刑事和民事拘留的“替代品”。该研究被称为“对电子监控应用程序生态系统的首次系统分析”，证实了许多倡导者的担忧，即EM应用程序允许访问大量信息，通常包含第三方跟踪器，并且经常不可靠。尽管地方、州和联邦政府机构越来越依赖这些应用程序，但该研究还提出了有关 EM 应用程序生态系统缺乏透明度的进一步问题。

截至2020年，美国有超过230万人被监禁，另有450万人受到某种形式的“社区监督”，包括那些处于缓刑、假释、审前释放，或处于少年或移民拘留系统的人。虽然以脚踝监测器形式出现的EM长期以来一直被机构用作拘留的“替代品”，但地方、州和联邦政府机构越来越多地转向智能手机应用程序来填补这一功能。它的工作方式很简单：代替监禁/拘留或脚踝监视器，一个人同意在自己的手机上下载一 EM应用程序，该应用程序允许该机构跟踪该人的位置，并可能要求该人提交附加条件，例如作为涉及面部或语音识别的签到。要求人们使用自己的设备进行EM相关的低成本可能解释了近年来EM应用程序的爆炸式增长。尽管没有准确统计使用EM应用程序替代拘留的总人数，但仅在移民方面，今天近100,000人通过BI Smartlink应用程序使用EM ，高于2018年的12,000多人。如此高的使用率要求公众更需要了解这些应用程序以及它们所提供的信息。

技术分析

该研究的技术分析是此类应用程序的首创，它确定了接受调查的16个应用程序的几类问题。这些包括与这些应用程序请求（并且通常需要）权限相关的隐私问题，对他们使用的第三方库和跟踪器类型的担忧，他们将数据发送给谁以及他们如何做，以及一些关于可用性和应用程序故障。

权限

当应用程序想要从您的手机中收集数据时，例如通过使用您的相机拍照或捕获您的 GPS位置，它必须首先请求您的许可才能与您设备的该部分进行交互。因此，了解应用程序请求哪些权限可以很好地了解它可以收集哪些数据。虽然拒绝不必要的许可请求是保护您的个人数据的好方法，但EM订单下的人通常没有这种奢侈，并且某些EM应用程序在获得所有权限之前根本无法运行。

不出所料，研究中的几乎所有应用程序都请求权限，例如GPS定位、摄像头和麦克风访问权限，这些权限可能用于与该人的EM主管进行各种签到。但有些应用程序要求更多不寻常的权限。研究中的两个应用程序请求访问手机的联系人列表，作者指出，这可以与“读取手机状态”权限相结合，以监控某人与谁交谈以及他们交谈的频率。另外三个请求“活动识别”权限，报告用户是在车里、骑自行车、跑步还是静止不动。

第三方库和跟踪器

应用程序开发人员几乎从不编写进入他们软件的每一行代码，而是依赖于第三方开发人员编写的所谓软件“库”。应用程序包含这些第三方库本身并不是一个危险信号。但是，由于某些库是为了收集和上传有关用户的跟踪数据而编写的，因此可以将它们在应用程序中的存在与意图跟踪甚至货币化用户数据相关联。

研究发现，几乎每个应用程序都使用某种形式的谷歌分析库。正如 EFF之前所说，如果 Google Analytics仅用于单个应用程序，它可能不会特别具有侵入性，但结合其在网络上几乎无处不在的使用，它为Google提供了个人在线行为的全景视图。更糟糕的是，Sprokit应用“似乎包含Google AdMob和Facebook Ads SDK投放广告所需的代码”。如果情况确实如此，那么Sprokit的开发人员正在从事一种骇人听闻的做法，即通过其俘虏的受众获利。

此外，该研究还涉及信息流、应用程序错误和技术问题、隐私政策、法律问题和悬而未决的问题等等。这项研究是对EM应用程序生态系统的首次全面分析，为公众了解这类应用程序及其危害奠定了重要基础。

详情可访问EFF官网上的链接：https://www.eff.org/deeplinks/2022/09/study-electronic-monitoring-smartphone-apps-confirms-advocates-concerns-privacy，或者论文资源：https://www.usenix.org/system/files/sec22-owens.pdf。

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。