当你明确地告诉Android应用程序时，“不，你没有权限来跟踪我的手机”，你可能期望它没有能力让它做到这一点。但是研究人员表示，成千上万的应用程序已经找到了欺骗Android权限系统的方法，将家中设备的唯一标识符和足够的数据打包，以便潜在地揭示您的位置。

即使你在一个应用程序要求允许查看那些个人识别数据的位置时说“不”，这可能还不够：第二个拥有您已批准权限的应用程序可以与另一个应用程序共享这些位或将它们保留在共享存储，其他应用程序 - 甚至可能是恶意应用程序 - 可以读取它。这两个应用程序可能似乎没有相关性，但研究人员表示，因为它们是使用相同的软件开发工具包(SDK)构建的，所以他们可以访问这些数据，并且有证据表明SDK所有者正在接收它。这就像一个孩子要求甜点被一位父母告知“不”，所以他们问另一位家长。

根据在PrivacyCon 2019上发表的一项研究，我们谈论的是三星和迪士尼等已下载数亿次的应用程序。他们使用由中国搜索巨头百度和一家名为Salmonads的分析公司构建的SDK，它可以将您的数据从一个应用程序传递到另一个应用程序(以及他们的服务器)，首先将其存储在手机本地。研究人员发现，使用百度SDK的一些应用可能会试图悄悄地获取这些数据供自己使用。

除此之外，团队还发现了许多侧漏道漏洞，其中一些漏洞可以将您的网络芯片和路由器，无线接入点，SSID等的唯一MAC地址发送回家。国际计算机科学研究所(ICSI)可用安全和隐私小组的研究主任塞尔格·埃格尔曼(Serge Egelman)在PrivacyCon上展示这项研究时表示，“现在这一点非常有名，因为这是位置数据的一个很好的替代品。”

该研究还挑选出照片应用程序Shutterfly的用于发送实际的GPS坐标回到它的服务器没有得到许可的跟踪位置-通过收集来自您的照片的EXIF元数据-但该公司否认它收集的数据私自在一份声明CNET。

根据研究人员的说法，Android Q中的一些问题有一些修复，他们说他们去年9月向谷歌通报了漏洞。(他们指向这个官方谷歌页面。)然而，这可能无法帮助许多无法获得Android Q更新的当代Android手机。(截至今年5月，只有10.4%的Android设备安装了最新的Android P，超过60%的设备仍在近三年的Android N上运行。)

研究人员认为谷歌应该做得更多，可能同时在安全更新中推出修补程序，因为它不应该只是获得保护的新手机买家。“谷歌公开声称隐私不应该是奢侈品，但这似乎就是这里发生的事情，”埃格尔曼说。

谷歌拒绝就具体漏洞发表评论，但它向The Verge证实，Android Q默认会隐藏照片应用中的地理位置信息，并且需要照片应用告诉Play商店是否能够访问位置元数据。