谷歌尝试通过利用机器学习来改进应用扫描,从而保护用户免受Android应用隐私侵犯和过多权限的问题,但对于这一做法是否有效,专家持有不同意见。
所有提交到Google Play Store的应用已经被扫描以检测恶意代码和其他威胁,而现在谷歌将使用对等群组分析来确保Android应用不会要求不必要的权限。
“为了保护我们的用户,并帮助开发人员应对这个复杂的环境,谷歌会分析Google Play中每个应用的隐私和安全信号。然后,我们会将具有相似功能的应用进行比较,这被称为功能对等体。创建对等体组让我们可校准对用户期望的估计值,并确定不安全或侵入性行为的范围,”谷歌安全和隐私团队Martin Pelikan、Giles Hogben和Ulfar Erlingsson在博客中写道,“此过程有助于检测收集或发送敏感数据但没有必要这样做的应用,让用户更容易找到提供正确功能并尊重其隐私的应用。”
谷歌称其已经开发了一种机器学习算法,可对具有相似功能的应用进行分组,以比较Android应用隐私设置,并确定该应用是否需要交由谷歌安全和隐私团队进一步检测。
Privacy Professor公司首席执行官Rebecca Herold表示,谷歌应该考虑要求Android应用隐私符合具体安全和隐私标准,而不是依靠机器学习和安全及隐私专家的主观看法。
“如果开发人员称,‘我们已经验证我们的应用符合 IEEEP1912/NIST XXXX/标准,并符合GDPR(一般数据保护条例)/HIPAA(健康保险携带和责任法案)/FISMA(联邦信息安全管理法)等要求’,这些权威、国际接受的标准作为可接受的隐私控制可更好确保用户隐私,而不是交由人类判断和人工智能,”Herold称,“此外,通过建立满足指定安全和隐私技术标准的最低要求,应用设计人员和供应商可在提交应用到Google Play由专家审核之前在应用中建立安全和隐私控制。”
Plixer公司首席执行官Michael Patterson称,开发人员可能会想办法绕过新的Android应用隐私扫描。
“软件公司大量收集来自客户的大数据的势头仍在发展,而谷歌试图阻止这种对个人身份信息收集的做法可能无法实现,”Patterson称,“例如,Words With Friends等供应商可简单地构建功能证明他们需要收集细节信息,例如GPS位置信息。谷歌可能需要监管移动应用开发人员的真正意图。”
Herold称谷歌执行Android应用隐私扫描是非常好的举措,但他也质疑机器学习的有效性。
“由于他们是提供应用的实体,他们有责任尽可能确保其站点的应用的安全性以及隐私性,特别是GDPR等新法律要求建立隐私控制,”Herold称,“利用机器学习来实现这一目标很有趣,我们可以看看它究竟是否有效及准确。对隐私的确定包括考虑如何/何地/何时数据被使用/共享,我建议他们应该安排一个团队对没有被AI机制标记的应用进行某种类型的快速审查,以进一步筛选应用。”
反恶意软件公司Bitdefender高级电子威胁分析师Liviu Arsene表示,自动化Android应用隐私扫描可能会失去人类隐私判断。
“隐私是非常个人化的东西,有些用户会认为位置跟踪具有侵扰性,而另一些用户可能不这样认为。试图对300万应用贴上隐私标签会非常困难,肯定会有误判,”Arsene称,“在某种意义上说,这种扫描会让应用审查更容易和更有效,但最终还是由个人用户来决定应用是否具有侵扰性。”
Herold指出,在未来,开发人员将有更多的理由来降低Android应用隐私设置来收集数据。
“随着越来越多应用在物联网和医疗物联网中整合,甚至会有更多类型的数据与个人关联,因此隐私风险也会随之增加,”Herold称,“虽然有些应用创建者和供应商正努力解决隐私问题,但风险也在迅速增加。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
Google Play Protect如何改善Android安全性?
谷歌新安全平台Google Play Protect旨在提高Android应用安全性,那么,Google Play Protect中有哪些功能?它是否足以确保应用安全性?
-
尴尬了:谷歌Android Samba应用仅支持不安全的SMBv1
近日谷歌首次推出其新的Android Samba应用,这显然不是好的发布时机,因为在不久前,在重大攻击事故中攻击者就利用了该应用中部署的不安全版本SMB协议。
-
未发现Android远程漏洞,谷歌Project Zero赏金计划“失败”了吗?
去年9月,谷歌设立Project Zero Prize项目,以最高20万美元奖金奖励Android安全贡献者。在立项半年后,未有任何针对Android的远程漏洞被提交……
-
风口上的AI:CISO需在炒作潮中保持清醒
现如今,越来越多的组织机构开始推广机器学习和人工智能技术,对于CISO们来说,需要在炒作风潮中保持清醒。