ถ้าใครๆ ก็รู้ทุกแอปที่อยู่ในโทรศัพท์ของคุณ

 (peabee.substack.com)
2 คะแนน โดย GN⁺ 2025-03-30 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp
  • จนถึงไม่กี่ปีก่อน แอป Android สามารถดูรายชื่อแอปทั้งหมดที่ติดตั้งอยู่ได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้
  • ตั้งแต่ Android 11 (มีผลบังคับใช้ตั้งแต่ปี 2022) เป็นต้นมา Google ได้นำนโยบาย Package Visibility มาใช้เพื่อจำกัดสิทธิ์ของนักพัฒนาในการเข้าถึงรายชื่อแอปที่ติดตั้งอยู่
  • เป็นกรณียกเว้น แอปที่มีฟังก์ชันหลักเฉพาะอย่าง เช่น ตัวจัดการไฟล์ เบราว์เซอร์ หรือแอปแอนติไวรัส สามารถขอสิทธิ์ QUERY_ALL_PACKAGES เพื่อดูรายชื่อแอปทั้งหมดได้
  • นักพัฒนาต้องระบุรายชื่อแอปที่ต้องการตรวจสอบไว้ใน AndroidManifest.xml

วิธีที่แอปอินเดียใช้รายชื่อแอปที่ติดตั้ง

  • ผู้เขียนได้ติดตั้งแอปอินเดียหลากหลายตัวลงบนโทรศัพท์ Android เครื่องรอง แล้ววิเคราะห์ไฟล์ AndroidManifest.xml
  • แอปส่วนใหญ่ตรวจสอบเฉพาะแอปที่สมเหตุสมผลต่อการทำงาน เช่น แอปชำระเงิน UPI
  • แต่บางแอประบุแอปไว้เป็นจำนวนมากมาก และเก็บข้อมูลเกินความจำเป็น

รายการแอปที่ Swiggy ตรวจสอบ

  • Swiggy ระบุชื่อแพ็กเกจแอปมากถึง 154 รายการ
  • รวมถึงแอปที่ไม่เกี่ยวกับการส่งอาหาร เช่น Xbox, Playstation, Naukri, Upstox
  • มีความเป็นไปได้สูงว่านี่มีเป้าหมายเพื่อทำ user profiling จากข้อมูลพฤติกรรมของลูกค้า
  • ตามนโยบายของ Google รายชื่อแอปที่ติดตั้งถือเป็นข้อมูลส่วนบุคคลที่อ่อนไหว

รายการแอปที่ Zepto ตรวจสอบ

  • Zepto ระบุแอปไว้มากกว่า Swiggy อีก คือ 165 แอป
  • ครอบคลุมแอปยอดนิยมแทบทุกหมวดหมู่ เช่น Netflix, Bumble, Binance
  • Zepto เป็นที่รู้กันว่าแสดงราคาต่างกันระหว่างผู้ใช้ iOS กับ Android
  • ด้วยข้อมูลนี้ บริษัทอาจแสดงราคาที่แตกต่างกันได้แม้ในกลุ่มผู้ใช้ Android ด้วยกันเอง

การตรวจสอบแอปในแอปสำหรับไรเดอร์

  • แอปสำหรับไรเดอร์ของ Swiggy และ Zepto ก็ตรวจสอบรายชื่อแอปแยกต่างหากเช่นกัน
  • Zepto ดูเพียงระดับการตรวจสอบแอปไรเดอร์ของคู่แข่ง
  • แต่ Swiggy ไปไกลกว่านั้น โดยตรวจสอบทั้งแอปการเงินส่วนบุคคล แอปกู้ยืม และแม้แต่เกมอย่าง Ludo King
  • เป็นการเก็บข้อมูลในระดับที่แทบจะสอดส่องกิจกรรมยามว่างของไรเดอร์

การตรวจสอบแอปเกินขอบเขตของแอปกู้ยืม

  • Kreditbee (ดาวน์โหลด 50 ล้าน+): ตรวจสอบ 860 แอป
  • Moneyview (ดาวน์โหลด 50 ล้าน+): ตรวจสอบ 944 แอป (ดูรายการทั้งหมดได้ที่ ลิงก์ GitHub)
  • รวมถึงแอปปฏิทิน โหราศาสตร์ ศาสนา หาคู่แต่งงาน และแอปการเกษตร ครอบคลุมชีวิตประจำวันแทบทุกด้าน
  • ใช้วิธีไล่ระบุชื่อแอปทีละตัวเพื่อหลบเลี่ยงนโยบายห้ามใช้ QUERY_ALL_PACKAGES ของ Google

การใช้สิทธิ์พิเศษแบบข้อยกเว้นของ Cred

  • Cred เป็นรายเดียวที่ใช้สิทธิ์ QUERY_ALL_PACKAGES
  • Google อนุญาตชั่วคราวได้หากฟังก์ชันหลักเกี่ยวข้องกับธุรกรรมทางการเงิน
  • แต่แอปการเงินอื่นอย่าง PhonePe และ Paytm ก็ไม่ได้ใช้สิทธิ์นี้
  • Cred ให้บริการสินเชื่อด้วย จึงอาจเข้าข่ายละเมิดนโยบาย

วิธีเลี่ยงด้วยฟิลเตอร์ "ACTION_MAIN"

  • บางแอปใช้ intent filter ACTION_MAIN เพื่อระบุแอป UI ทั้งหมดได้
  • วิธีนี้ทำให้สามารถตรวจสอบรายชื่อแอปที่ติดตั้งได้ทางอ้อมโดยไม่ต้องมีสิทธิ์ QUERY_ALL_PACKAGES
  • จากการสร้างแอปทดสอบเพื่อทดลอง ผู้เขียนพบว่าวิธีนี้สามารถดึงรายชื่อแอปทั้งหมดออกมาได้
  • Play Store ควรปิดช่องโหว่นี้ แต่ในความเป็นจริงการตรวจสอบยังหละหลวม

รายชื่อแอปที่ใช้ฟิลเตอร์

  • แอปที่ใช้ฟิลเตอร์เพื่อตรวจสอบแอปที่ติดตั้งอยู่:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • แอปที่ไม่ใช้ฟิลเตอร์:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy ใช้ทั้งฟิลเตอร์และการระบุโดยตรงพร้อมกัน (จึงกลับกลายเป็นว่าวิธีเก็บข้อมูลโปร่งใสกว่า)

แอประดับโลกก็มีความต่างในการใช้ฟิลเตอร์

  • ใช้ฟิลเตอร์: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • ไม่ใช้ฟิลเตอร์: Amazon, Spotify, X(Twitter), Discord, WhatsApp

ข้อมูลการติดตั้งแอปเป็นข้อมูลอ่อนไหวแค่ไหน

  • ในปี 2022 Vice รายงานกรณีที่ data broker ในสหรัฐฯ ซื้อขายข้อมูลการติดตั้งแอปติดตามรอบเดือน
  • เช่นเดียวกัน รายชื่อแอปที่ติดตั้งสามารถเปิดเผยข้อมูลอ่อนไหว เช่น ความเชื่อส่วนบุคคล สุขภาพ และสถานะทางการเงิน

กรณีการใช้สิทธิ์ SMS ของ Zepto

  • Zepto ขอสิทธิ์ READ_SMS
  • เป็นสิทธิ์จำเป็นเมื่อใช้ฟีเจอร์ Zepto Postpaid และในทางปฏิบัติสามารถอ่านข้อความ SMS ได้แม้ผู้ใช้จะไม่ได้เลือกใช้งานก็ตาม
  • แม้แต่ข้อความจาก Blinkit, Swiggy, Flipkart และแอปอื่นก็อาจถูกรวมอยู่ในการวิเคราะห์ด้วย

บทสรุป

  • แอปส่วนใหญ่ยังทำงานอยู่ในขอบเขตปกติโดยไม่ขอสิทธิ์เกินจำเป็น
  • แต่บางแอปใช้เทคนิคเลี่ยงข้อจำกัดและการไล่ระบุแพ็กเกจจำนวนมากเพื่อเก็บข้อมูลแอปที่ผู้ใช้ติดตั้ง
  • ผู้ใช้ควรตระหนักว่าเมื่อมีการติดตั้งแอป ข้อมูลลักษณะนี้อาจถูกเปิดเผยได้ง่าย
  • ท้ายที่สุดข้อมูลเหล่านี้อาจถูกขายผ่าน data broker และถูกนำไปใช้กับการตั้งราคาแบบเลือกปฏิบัติหรือการยิงโฆษณาแบบเจาะกลุ่มได้

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น