属于中国科技巨头百度的两个 Android 应用程序已于10月底从官网Google Play商店中删除。
谷歌示意收到美国网络安全公司 Palo Alto Networks的报告(https://unit42.paloaltonetwor...),报告称百度地图和百度搜寻这两个应用程序蕴含收集用户信息的代码,这条代码位于百度Push SDK中,用于在两个应用程序内显示实时告诉。
两位辨认数据收集行为的研究员Stefan Achleitner和Xuchengcheng认为,该代码收集了:
- 手机型号
- 屏幕分辨率
- 电话MAC地址
- 无线运营商
- 网络(Wi-Fi、2G、3G、4G、5G)
- Android ID
- 国内移动用户识别码(IMSI)
- 和国内挪动设施识别码(IMEI)
尽管所收集的某些信息“有害”,但诸如IMSI和IMEI代码之类的某些数据能够用于惟一地辨认和跟踪用户,即便该用户切换到另一部电话也是如此。
钻研小组说,谷歌针对 Android 利用的政策并未特地禁止收集个人用户详细信息。报告指出,尽管上述百度利用并未违反Google的Android应用程序政策,但依据Android最佳做法指南,Google倡议开发者不要收集诸如IMSI或MAC地址之类的标识符。
但在向 Google 报告问题后,Google Play商店平安小组证实了钻研小组的发现,并启动了两次考察,最终这两个应用程序于10月28日从官网商店中删除。
百度发言人回应:「尽管Palo Alto Networks报告中的数据收集行为引发了Google团队的考察,但数据收集行为并不是这两个应用程序从Play商店中撤出的起因。因为百度在中国已取得用户的许可,能够从用户那里收集此信息。」
百度搜寻在2020年11月19日在Google Play从新上架,但百度地图仍未被从新上架。
在删除之前,这两个利用的下载量总计超过600万。
Palo Alto Networks团队还示意,他们还在MobTech开发的 Share SDK中辨认了相似的数据收集代码。
Achleitner和Xu示意,该SDK已被37,500多个应用程序应用,该SDK还容许应用程序开发人员收集数据,例如电话型号信息,屏幕分辨率,MAC地址,Android ID,广告ID,运营商信息和IMSI(国内挪动订户身份)以及IMEI(国内挪动设施识别码)代码。
Achleitner和Xu示意:“对Android恶意软件的分析表明,歹意应用程序常常应用SDK(例如Baidu Push SDK或ShareSDK)来提取和传输设施数据,”他暗示,只管这些SDK可能是出于非法目标而开发的,例如在社交媒体上推送告诉和共享内容,它们常常被歹意应用程序的开发人员滥用。
总而言之,这不仅是Android生态系统的一个惯例问题,而且对于整个在线应用程序世界也是一个惯例问题,许多应用程序在没有专门禁止此类行为的法规的状况下不受限制地收集敏感的用户详细信息。
Palo Alto Networks的报告:
https://unit42.paloaltonetworks.com/android-apps-data-leakage/
内容参考:
https://www.zdnet.com/article/baidus-android-apps-caught-collecting-sensitive-user-details/