共计 1380 个字符,预计需要花费 4 分钟才能阅读完成。
属于中国科技巨头百度的两个 Android 应用程序已于 10 月底从官网 Google Play 商店中删除。
谷歌示意收到美国网络安全公司 Palo Alto Networks 的报告(https://unit42.paloaltonetwor…),报告称百度地图和百度搜寻这两个应用程序蕴含收集用户信息的代码,这条代码位于百度 Push SDK 中,用于在两个应用程序内显示实时告诉。
两位辨认数据收集行为的研究员 Stefan Achleitner 和 Xuchengcheng 认为,该代码收集了:
- 手机型号
- 屏幕分辨率
- 电话 MAC 地址
- 无线运营商
- 网络(Wi-Fi、2G、3G、4G、5G)
- Android ID
- 国内移动用户识别码(IMSI)
- 和国内挪动设施识别码(IMEI)
尽管所收集的某些信息“有害”,但诸如 IMSI 和 IMEI 代码之类的某些数据能够用于惟一地辨认和跟踪用户,即便该用户切换到另一部电话也是如此。
钻研小组说,谷歌针对 Android 利用的政策并未特地禁止收集个人用户详细信息。报告指出,尽管上述百度利用并未违反 Google 的 Android 应用程序政策,但依据 Android 最佳做法指南,Google 倡议开发者不要收集诸如 IMSI 或 MAC 地址之类的标识符。
但在向 Google 报告问题后,Google Play 商店平安小组证实了钻研小组的发现,并启动了两次考察,最终这两个应用程序于 10 月 28 日从官网商店中删除。
百度发言人回应:「尽管 Palo Alto Networks 报告中的数据收集行为引发了 Google 团队的考察,但数据收集行为并不是这两个应用程序从 Play 商店中撤出的起因。因为百度在中国已取得用户的许可,能够从用户那里收集此信息。」
百度搜寻在 2020 年 11 月 19 日在 Google Play 从新上架,但百度地图仍未被从新上架。
在删除之前,这两个利用的下载量总计超过 600 万。
Palo Alto Networks 团队还示意,他们还在 MobTech 开发的 Share SDK 中辨认了相似的数据收集代码。
Achleitner 和 Xu 示意,该 SDK 已被 37,500 多个应用程序应用,该 SDK 还容许应用程序开发人员收集数据,例如电话型号信息,屏幕分辨率,MAC 地址,Android ID,广告 ID,运营商信息和 IMSI(国内挪动订户身份)以及 IMEI(国内挪动设施识别码)代码。
Achleitner 和 Xu 示意:“对 Android 恶意软件的分析表明,歹意应用程序常常应用 SDK(例如 Baidu Push SDK 或 ShareSDK)来提取和传输设施数据,”他暗示,只管这些 SDK 可能是出于非法目标而开发的,例如在社交媒体上推送告诉和共享内容,它们常常被歹意应用程序的开发人员滥用。
总而言之,这不仅是 Android 生态系统的一个惯例问题,而且对于整个在线应用程序世界也是一个惯例问题,许多应用程序在没有专门禁止此类行为的法规的状况下不受限制地收集敏感的用户详细信息。
Palo Alto Networks 的报告 :
https://unit42.paloaltonetworks.com/android-apps-data-leakage/
内容参考:
https://www.zdnet.com/article/baidus-android-apps-caught-collecting-sensitive-user-details/
