Google Play 商店刪除百度的兩個Android應用程序
屬於中國科技巨頭百度的兩個 Android 應用程序已於10月底從官方Google Play商店中刪除。android
谷歌表示收到美國網絡安全公司 Palo Alto Networks的報告(https://unit42.paloaltonetwor...),報告稱百度地圖和百度搜索這兩個應用程序包含收集用戶信息的代碼,這條代碼位於百度Push SDK中,用於在兩個應用程序內顯示實時通知。安全
兩位識別數據收集行爲的研究員Stefan Achleitner和Xuchengcheng認爲,該代碼收集了:網絡
- 手機型號
- 屏幕分辨率
- 電話MAC地址
- 無線運營商
- 網絡(Wi-Fi、2G、3G、4G、5G)
- Android ID
- 國際移動用戶識別碼(IMSI)
- 和國際移動設備識別碼(IMEI)
雖然所收集的某些信息「無害」,但諸如IMSI和IMEI代碼之類的某些數據能夠用於惟一地識別和跟蹤用戶,即便該用戶切換到另外一部電話也是如此。app
研究小組說,谷歌針對 Android 應用的政策並未特別禁止收集我的用戶詳細信息。報告指出,雖然上述百度應用並未違反Google的Android應用程序政策,但根據Android最佳作法指南,Google建議開發者不要收集諸如IMSI或MAC地址之類的標識符。spa
但在向 Google 報告問題後,Google Play商店安全小組證明了研究小組的發現,並啓動了兩次調查,最終這兩個應用程序於10月28日從官方商店中刪除。3d
百度發言人迴應:「雖然Palo Alto Networks報告中的數據收集行爲引起了Google團隊的調查,但數據收集行爲並非這兩個應用程序從Play商店中撤出的緣由。由於百度在中國已得到用戶的許可,能夠從用戶那裏收集此信息。」blog
百度搜索在2020年11月19日在Google Play從新上架,但百度地圖仍未被從新上架。網絡安全
在刪除以前,這兩個應用的下載量總計超過600萬。開發
Palo Alto Networks團隊還表示,他們還在MobTech開發的 Share SDK中識別了相似的數據收集代碼。rem
Achleitner和Xu表示,該SDK已被37,500多個應用程序使用,該SDK還容許應用程序開發人員收集數據,例如電話型號信息,屏幕分辨率,MAC地址,Android ID,廣告ID,運營商信息和IMSI(國際移動訂戶身份)以及IMEI(國際移動設備識別碼)代碼。
Achleitner和Xu表示:「對Android惡意軟件的分析代表,惡意應用程序常常使用SDK(例如Baidu Push SDK或ShareSDK)來提取和傳輸設備數據,」他暗示,儘管這些SDK多是出於合法目的而開發的,例如在社交媒體上推送通知和共享內容,它們常常被惡意應用程序的開發人員濫用。
總而言之,這不只是Android生態系統的一個常規問題,並且對於整個在線應用程序世界也是一個常規問題,許多應用程序在沒有專門禁止此類行爲的法規的狀況下不受限制地收集敏感的用戶詳細信息。
Palo Alto Networks的報告:
https://unit42.paloaltonetworks.com/android-apps-data-leakage/
內容參考:
https://www.zdnet.com/article/baidus-android-apps-caught-collecting-sensitive-user-details/
