属于中国科技巨头百度的两个 Android 应用程序已于10月底从官方Google Play商店中删除。
谷歌表示收到美国网络安全公司 Palo Alto Networks的报告(https://unit42.paloaltonetwor...),报告称百度地图和百度搜索这两个应用程序包含收集用户信息的代码,这条代码位于百度Push SDK中,用于在两个应用程序内显示实时通知。
两位识别数据收集行为的研究员Stefan Achleitner和Xuchengcheng认为,该代码收集了:
- 手机型号
- 屏幕分辨率
- 电话MAC地址
- 无线运营商
- 网络(Wi-Fi、2G、3G、4G、5G)
- Android ID
- 国际移动用户识别码(IMSI)
- 和国际移动设备识别码(IMEI)
虽然所收集的某些信息“无害”,但诸如IMSI和IMEI代码之类的某些数据可以用于唯一地识别和跟踪用户,即使该用户切换到另一部电话也是如此。
研究小组说,谷歌针对 Android 应用的政策并未特别禁止收集个人用户详细信息。报告指出,虽然上述百度应用并未违反Google的Android应用程序政策,但根据Android最佳做法指南,Google建议开发者不要收集诸如IMSI或MAC地址之类的标识符。
但在向 Google 报告问题后,Google Play商店安全小组证实了研究小组的发现,并启动了两次调查,最终这两个应用程序于10月28日从官方商店中删除。
百度发言人回应:「虽然Palo Alto Networks报告中的数据收集行为引发了Google团队的调查,但数据收集行为并不是这两个应用程序从Play商店中撤出的原因。因为百度在中国已获得用户的许可,可以从用户那里收集此信息。」
百度搜索在2020年11月19日在Google Play重新上架,但百度地图仍未被重新上架。
在删除之前,这两个应用的下载量总计超过600万。
Palo Alto Networks团队还表示,他们还在MobTech开发的 Share SDK中识别了类似的数据收集代码。
Achleitner和Xu表示,该SDK已被37,500多个应用程序使用,该SDK还允许应用程序开发人员收集数据,例如电话型号信息,屏幕分辨率,MAC地址,Android ID,广告ID,运营商信息和IMSI(国际移动订户身份)以及IMEI(国际移动设备识别码)代码。
Achleitner和Xu表示:“对Android恶意软件的分析表明,恶意应用程序经常使用SDK(例如Baidu Push SDK或ShareSDK)来提取和传输设备数据,”他暗示,尽管这些SDK可能是出于合法目的而开发的,例如在社交媒体上推送通知和共享内容,它们经常被恶意应用程序的开发人员滥用。
总而言之,这不仅是Android生态系统的一个常规问题,而且对于整个在线应用程序世界也是一个常规问题,许多应用程序在没有专门禁止此类行为的法规的情况下不受限制地收集敏感的用户详细信息。
Palo Alto Networks的报告:
https://unit42.paloaltonetworks.com/android-apps-data-leakage/
内容参考:
https://www.zdnet.com/article/baidus-android-apps-caught-collecting-sensitive-user-details/
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。