使用风险自负：顶级教育应用如何监视你

Cybernews 研究发现，Coursera、Duolingo、Moodle 或 Udemy ——所有顶级教育应用程序都可以访问您的私人数据。

技术将继续存在于学校和大学中，而 Z 世代将成为学习过程革命的推动者。

教育应用行业正在经历快速增长。根据 Business of Apps 的报告，2023 年有 7.09 亿人使用学习应用，创造了 59.3 亿美元的收入。毫无疑问，该行业是 Google Play Store 中第二大行业，也是 Apple App Store 中第三大行业。

使用应用程序学习很有趣，但您是否为此付出了隐私代价？在 Cybernews，我们决定测试顶级教育应用程序，发现许多流行的应用程序请求敏感权限，这可能会打开您的私人数据的大门。

方法论

我们研究了 Google Play Store 上下载量达数百万的 25 款热门学习和教育应用，以确定它们所需的敏感应用权限以及可能产生的隐私影响。据 Google 称，Android 应用权限可保护对受限数据或操作的访问，从而帮助用户更好地控制隐私。

在理想情况下，应用程序开发人员应该只需要应用程序运行所需的基本权限。然而，Cybernews 之前对热门航空公司和旅行计划应用程序的研究表明，情况并非总是如此。

用户应始终对某些应用权限保持高度谨慎。Google 将这些权限归类为敏感权限，因为它们允许应用访问您设备的通信功能或个人信息，例如您的位置、相机、存储空间或联系人。

访问数据并不一定意味着滥用数据，但总是存在风险。我们联系了应用程序开发人员，了解他们的应用程序为何需要此类权限，但尚未收到回复。

热门教育应用最常请求的敏感权限。

侵入权限的绝对拥护者

我们的研究表明，请求敏感权限最多的是旧金山的 Remind 应用，该应用为学校提供通信服务。该应用总共请求了 12 项敏感权限。接下来是在线学习平台 Coursera（11）、AI 家庭作业助手 Question.AI（10）、课程和班级管理系统 Moodle（10）和 ClassDojo（9）。

哪些教育应用请求的权限最危险？

大多数学习应用程序都可以访问你的相机

摄像头是一种敏感的硬件组件，可以捕捉用户周围环境的视觉信息。授予访问权限后，应用可以拍照、录制视频和进行视频通话。

应用通常依赖摄像头访问权限来让用户直接在应用内拍照、录制视频或进行视频通话。此功能不仅让用户更轻松地创建和分享内容，还有助于实现交互式体验，例如增强现实游戏或实时文档扫描。

对于教育应用，可能需要相机访问权限才能拍摄应用内照片并将其提交给应用。但是，如果此权限被泄露，恶意行为者可能会在用户不知情的情况下访问用户的相机和麦克风。

总共有 17 个经过测试的教育应用程序可以访问您的相机：

有权访问你相机的应用程序。

Coursera 和 Duolingo 等可以访问你的帐户

测试的五款应用具有访问设备账户的冗余且危险的权限。对于教育应用而言，此类权限并非其功能所必需的，但可能会带来隐私和安全风险。

获取帐户的权限授予应用访问与设备关联的用户帐户的权限。这意味着应用可以检索设备上注册的帐户列表，例如来自 Google、Meta 和三星的帐户。

帐户信息可能包含敏感数据，包括电子邮件地址、用户名和帐户标识符。这些信息可以识别个人身份，并与用户的在线身份相关联。

访问用户账户可能会侵犯其隐私，因为它可以泄露用户的在线状态、沟通渠道以及潜在的敏感账户数据。所有这些也可能被威胁行为者利用。

可以抓取您帐户的应用程序：

Canvas Student

Coursera

Duolingo

Remind

Simplilearn

Duolingo 想要了解你的联系人

Duolingo 是一款语言学习应用程序，它已经成为网络热词，因为它会不断提醒用户打开应用程序并完成课程，并且会请求访问用户设备上存储的联系人的权限。

访问联系人的权限被视为敏感信息，因为它允许应用在设备上写入和读取联系人列表。联系信息是敏感信息，因为它可能包含有关朋友、家人、同事和熟人的私人数据，包括姓名、电话号码、电子邮件地址和其他联系方式。

如果滥用，此权限可能会导致不必要的数据抓取、侵犯用户隐私，甚至利用数据制定各种欺诈计划。

哪些教育应用请求的权限最危险？

大多数应用程序可以读取您的文件和存储空间

一般而言，访问设备存储被视为敏感信息，因为它允许应用写入和更改设备外部存储（例如 SD 卡）上的数据。应用可以访问用户文件、照片、视频、文档和其他私人信息。如果被恶意人士滥用，这种访问权限可能会导致数据丢失和隐私侵犯。

研究表明，测试的 21 个应用可以写入您的存储，20 个应用可以读取其中的文件。某些应用具有更精确的权限来读取设备上存储的视频或音频媒体库。

植物识别应用程序 PictureThis 拥有更广泛的权限——访问嵌入在媒体文件中的地理位置元数据——这使它能够找到拍摄图像的位置。

可以读取你存储内容的应用程序。

可以获取你的电话号码和 IMEI 的应用

Khan Academy、Question.AI 和 Remind 应用请求危险权限来读取手机状态。此权限被视为敏感权限，因为它允许应用访问可识别设备及其用户的信息。

访问的数据可能包括设备的电话号码、网络状态、网络运营商、IMEI 代码、SIM 卡详细信息以及有关互联网提供商的信息。

如果这些信息落入坏人之手，可能会被利用来拦截设备上正在进行的通信。

十个可以录制你音频的应用程序

麦克风权限用于访问设备的麦克风并录制音频输入。学习过程中可能需要此功能。例如，任何尝试过 Duolingo 的人都知道，该应用会记录您的声音以检查您的回答是否正确。

然而，如果被利用，访问麦克风可能会导致未经授权的监视，窃取敏感对话和个人信息。它还可能被用于未经同意的营销。

经过测试的十个应用程序可以访问您的麦克风：

Blackboard Learn

Canvas Student

Canvas Teacher

ClassDojo

Duolingo

Moodle

Lingokids

PBS Kids

Question.AI

Remind

一个应用程序可以代表您呼叫并连接蓝牙

Remind 面向学生的通信平台要求用户授予访问其设备上的短信和通话的权限。此权限允许该应用代表用户发送短信和拨打电话。

虽然这种访问权限对于应用程序的功能可能是必要的，但如果被滥用，可能会导致隐私泄露和欺诈性垃圾通信，对用户造成潜在危害。

该应用还包含连接蓝牙的敏感权限。应用可能会使用蓝牙在设备之间传输数据或与附近的蓝牙设备配对，例如无线耳机、扬声器和智能手表。

然而，如果此权限被滥用，它可以让应用程序连接到未经授权的设备，或被用于访问蓝牙连接设备之间共享的私人信息。

恶意行为者可以利用此访问权限来跟踪附近的设备并可能收集有关其所有者的信息。

这些应用知道你的位置

位置权限被视为高度敏感，因为它们允许应用访问设备的精确位置信息，包括纬度和经度坐标。如果滥用，它可能会导致跟踪您的精确位置，从而导致严重的隐私侵犯。

接受测试的应用程序中，有四个可以访问用户的大致位置，其中两个可以访问用户的精确位置。

确切位置：

Moodle

Question.AI

大致位置：

ClassDojo

Moodle

Question.AI

Sololearn

如何撤销应用程序权限？

由于敏感权限可能会对用户的隐私造成风险，Cybernews 建议在允许访问之前始终检查权限请求。注意那些对于应用程序的预期功能来说似乎不必要的权限。

在 Android 操作系统上，您可以通过导航到“应用程序管理器”或“应用程序”来管理和撤销设备设置中的应用程序权限。

如果某个应用似乎要求过多权限，最好避免使用它。如果应用受到攻击，滥用这些权限可能会给用户带来有害后果。

最大的风险之一是侵犯隐私，因为具有过多权限的应用可以在未经适当同意的情况下访问敏感信息。

权限处理不当也会危及数据安全，使用户数据容易受到未经授权的访问、身份盗窃或数据泄露。