由于冠状病毒大流行促使学校出于公共健康考虑而上网,家长和老师们开始转向数字替代品,如应用程序,以弥补虚拟的差距。虽然孩子们可以通过这些应用程序学习,但数以百计的广告商也在了解它们。
国际数字问责委员会(International Digital Accountability Council)的研究人员研究了22个国家的496个教育应用程序,发现其中许多服务存在隐私问题。有几个应用程序向第三方广告商提供了位置数据,还收集了设备标识符,除非你购买新手机,否则无法重置这些标识符。
尽管报告中调查的大多数应用程序都符合隐私标准,但所发现的数据收集规模敲响了教育应用程序性质的警钟。
研究人员发现,在123个人工测试的应用程序中,有79个与第三方共享用户数据。流向广告商的数据可能包括你的姓名、电子邮件地址、位置数据和设备ID。该研究还发现,超过140家第三方公司从ed技术应用程序中获取数据,其中大部分是Facebook,其次是谷歌。
安全研究人员经常发现应用程序存在隐私问题,其中许多应用程序甚至在你不同意的情况下也会从设备上获取数据。
即使您给予了许可,数据也常常与多个以各自方式使用数据的第三方共享。你可以让你的天气应用程序获取你的位置以进行准确的预测,但该应用程序的数据合作伙伴可以将其用于广告或执法目的。
应用程序开发者通常也使用软件开发工具包(sdk)作为快捷方式,而不是从零开始制作软件,这也可能导致数据窃取计划。
安全研究人员将分析网络流量并检查应用程序的代码,以确定数据流向何处,但普通人不应该期望通过学习这项技能来保护自己的隐私。
这些隐私问题在所有应用程序中都很常见,但在教育应用程序中这是一个更大的问题,因为使用这些应用程序的大多数人是儿童。该报告发现,下载量达数百万的教育应用程序在孩子不知情的情况下分享了他们的位置数据。
IDAC总裁Quentin Palfrey说:“当你的用户群体主要集中在年轻人身上时,开发者和平台都应该对此保持警惕。”
关于你的学习
研究人员手动测试了78个Android应用程序和45个iOS应用程序,天辰游戏平台其中有些是重叠的,总共98个独特的应用程序。他们还在研究中自动测试了421个Android应用程序。
手工测试更为彻底,它着眼于个人数据是如何收集的,发送给谁,以及哪些信息被采集。
研究发现有27个应用程序正在获取位置数据。有些应用是有目的的,需要这些信息——比如星座应用,利用你的位置实时告诉你头顶的星星是什么。其他应用程序收集位置数据的理由更值得怀疑,比如学习JavaScript和SQL等编程语言的应用程序。
肖学院(Shaw Academy)正在收集位置数据和个人标识符,并将其发送给第三方营销公司WebEngage。今年6月,邵逸夫学院宣称,自今年3月COVID-19疫情封锁以来,其在线教育平台的访问量增长了近8倍,新用户大多在25岁至34岁之间。
肖学院首席战略官约翰•怀特称公司的隐私政策,指出,该公司可以收集、使用和分享实时位置数据通过GPS、蓝牙和IP地址,以及发射塔位置,”提供基于位置的服务,“但没有解释什么是服务。
除非用户同意,否则这些位置数据是匿名收集的。用户可能撤回同意肖学院和我们的合作伙伴的收集、利用、传输、处理和维护的位置和帐户数据在任何时候不使用定位功能和关闭定位服务设置(如适用)的用户设备和计算机,”怀特在一封电子邮件中表示。
WebEngage专门在Facebook、电子邮件和推送通知上做定向广告,它自称每月跟踪4亿人。该公司没有回复记者的置评请求。
即使应用程序没有专门收集你的位置数据,如果它们在收集与Wi-Fi有关的数据,比如你的路由器细节,那就可以作为事实上的位置标记。
路由器数据通常与位置相关联——除非你正在积极移动路由器——这意味着广告商知道你是在使用家庭Wi-Fi网络还是在咖啡店。
许多应用程序还会收集设备标识符和广告id,这与谷歌的开发者政策相违背。你的手机有多个标识符,但一般不允许开发者收集持久的标识符。
你可以重置安卓和苹果的广告ID,但除非你买了一部新手机,否则你无法重置你的设备ID。谷歌的策略不允许开发人员同时收集广告ID和设备ID,因为数据代理只能将新的广告ID与永久的设备ID链接在一起,这基本上是徒劳的。
人工测试发现,有9个应用程序正在收集并与第三方广告商分享这些数据,天辰游戏每个应用程序都安装在至少1,000万台设备上。研究人员发现,热门语言学习应用“多邻国”(Duolingo)正在与Facebook分享安卓id和广告id。
Duolingo没有回复记者的置评请求。
平均而言,这些教育应用程序至少检查了三家第三方公司的共享数据。Facebook拥有最广泛的数据池,从128个应用中获得用户数据,其次是广告公司Unity,从72个教育应用中获得数据。
参见:为在校学习和远程学习选择合适的返校笔记本电脑
报告称,一款安装超过10亿次的未命名应用,在研究人员将其提交给移动分析公司Amplitude之前,它并不知道自己在与该公司分享数据。
报告称:“我们的调查没有揭露这些第三方的任何不当行为,但数据收集的规模和不透明值得注意,并给教育科技生态系统的健康带来了一些风险。”
该研究还发现,在其测试的应用程序中,46%的应用程序使用了“潜在的担忧”SDK。它在后台收集数据,除非人们拥有与安全研究人员相同的工具和能力,否则他们永远不会知道。
帕尔弗雷说:“我们担心的是,一旦通过应用程序和SDK之间的关系收集了数据,用户对数据的了解和控制程度有多低。”“如果你不了解它,你就无法控制它,也无法对它说不。”
由于这些应用绕开了许可请求,而且跟踪器通常隐藏在公众视野之外,因此很难向担心隐私问题的家长和老师提供建议。该监督组织表示,修复依赖于监管机构和平台,如谷歌和苹果,以启动不良应用。
“我们看到的很多东西都是可以通过良好的开发实践、良好的平台监管或更严格的监管审查来补救的,”Palfrey说。“而不是那些家长或老师自己就能解决的问题。”