谷歌数十款应用程序,被发现秘密收集个人数据,涉及设备超6000万台
作 者丨郭美婷,实习生古宇星
图 源丨图虫
近日,谷歌从Google Play商店下架了天气、高速公路雷达、二维码扫瞄器等数十款应用程序,原因是这些应用程序内置一个秘密获取数据的软件代码,其中多个应用程序的下载量已超千万次。
发现代码的研究人员表示,代码是由一家巴拿马公司Measurement Systems编写并付费植入应用程序中的,包含剪贴板内容、电话号码、电子邮件地址在内的数据能借此被秘密收集。
此前,为防止有害的应用程序进入应用商店, Google Play商店于4月6日对开发政策进行了更新,要求自2022年11月1日起,对于商店内未更新的现有程序,若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别,则无法提供给设备运行较新版安卓操作系统的新用户。
数十款应用程序被下架
据4月7日消息,国际计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓应用程序漏洞搜索的审计工作中,发现巴拿马公司Measurement Systems S. de R.L.编写并植入的软件开发工具包(SDK)代码,能够秘密地获取用户数据。该SDK代码最开始被发现于多个下载次数超1000万的应用程序中。
研究人员表示,隐藏在应用程序中的SDK代码可以获取包含剪贴板内容、电话号码、电子邮件地址在内的数据。除基于路由器的较粗略位置数据外,该代码还能收集精确的 GPS数据 ,并建立数据库,将电子邮件和电话号码与GPS历史位置相对应。也就是说,通过这些数据,能在仅知道个人电话号码或邮件的情况下,查询其历史位置信息。
报道称,从公司记录及互联网域名注册信息可知,Measurement Systems与一家弗吉尼亚州的国防承包商有关联,后者参与了为美国国家安全机构提供网络情报、网络防御和情报拦截的工作。Measurement Systems 通过支付给世界各地开发人员费用,将代码置入应用程序,涉及的设备已超过6000万台。
目前,谷歌已将内置上述SDK代码的数十个应用程序从Google Play商店中下架,其中包括高速公路超速检测应用程序(Speed Camera Radar)、QR和条形码扫描仪(QR & Barcode Scanner)及简约天气和时钟小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon发现,尽管自相关信息被曝光后,该SDK已停止运行,没有继续收集数据,但这些代码仍保有从已安装相关应用程序的手机中收集数据的能力。
谷歌发言人表示,因涉及用户数据收集而被下架的应用程序,若已删除了违规代码,可重新申请在Google Play商店中上架。目前,包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在内的一些应用程序已回归Google Play商店 。
应用程序安全问题频发
这并非Google Play商店第一次出现应用程序的安全问题。
2022年3月3日,老牌代码安全审计机构NCC Group发布了一份报告,对一个远程访问银行的木马SharkBot的工作原理及其如何绕过Google Play商店的安全措施进行了分析。
SharkBot于2021年10月末被威胁情报团队Cleafy发现,它通过自动转账系统(ATS)技术在被植入的设备中发起资金转账。该木马一旦检测到运行的银行应用程序,能够以特定顺序进行一系列事件的模拟,使汇款程序与银行的交互一致,从而使欺诈行为更加难以被欺诈检测系统发现。至报告发出时,Google Play商店中假冒杀毒应用程序SharkBotDropper的下载量已超1000次。
为防止有害的应用程序进入Play商店, 4月6日,Google Play商店对开发政策进行了更新。其中,为了避免用户安装可能不具备最新隐私和安全功能的应用程序,谷歌拓展了其目标级别API要求。自2022年11月1日起,对于商店内未更新的现有程序,若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别,则无法提供给设备运行较新版安卓操作系统的新用户。
早前,谷歌为引入更具有私密性的广告解决方案,于2月16日宣布了一项在安卓上构建隐私沙盒的计划 ,对与第三方共享用户数据的行为加以限制。同时,谷歌还在探索相关技术以限制秘密收集数据的情况,其中包含能让应用程序与广告SDK整合更安全的方式 。谷歌表示这个计划将持续多年。
本期编辑 冯展鹏 实习生 黄菁珊
百万读者都在看
刷屏!一个重磅发布!解读来了
71岁王石要开"创业第二春"!目标或是这个行业
比特币的运行机制及与区块链的联系佚名每一笔比特币交易,都会被区块链网络中的节点记录下来,以此增强交易公信力,保护交易双方利益。但如果所有节点都参与记录的话,容易因为网络延迟等因素造成账本信息不一致,也难以避免记账
薇娅带货翻车,二驴夫妇卖假手机被点名,网红最近怎么了?众所周知,直播带货是最近几年才兴起的一个行业,在几年前,直播行业并没有普及,人们对网络直播买东西这种行为信任度不高,不过随着互联网不断发展,人们体会到了直播带货的便利之处,大家不仅
1499元起售,RedmiNote10Pro香在哪里?这里概括了3点给你1499元究竟能够买到一款什么样的手机?如果按照过去的标准,可能能够买到的就是一款搭载了入门级芯片普通屏幕普通三摄以及平均容量电池的手机罢了,毕竟1500元也称不上什么高端旗舰手机
盒马自主研发智慧价签6月上新看一眼价签就知何时上架近日,盒马的电子价签在社交网络上引发关注。但盒马相关负责人表示,电子价签的一秒变价打折提醒等功能早已不新鲜。6月起,盒马将在全国门店陆续启用新型的智慧价签,智多项服务功能也将全新上
iOS14。5升级14。6体验,网速慢了?晚上没忍住,从14。5升了14。6因为之前看过别人说网速变慢了我也去测了一下果不其然!!在腾讯手机管家测的以前不管是独立5g还是混合的轻轻松松上40ms状态好的时候是50刚刚混合的
红米5G概念新机,骁龙870和144Hz高刷屏加持,整机设计真漂亮红米手机是小米旗下的子品牌手机,随着小米手机近几年的发展进步,红米手机的进步也是非常明显的,红米手机通过极致的性价比,拥有着非常不错的口碑,并且用户量也是非常之多。目前红米手机靠着
手机淘宝改名了网商君618前,手机淘宝宣布,正式改名为淘宝。目前在AppStore安卓应用商店华为应用商店等,原来手机淘宝APP的名称已经变成淘宝。据悉,这是淘宝推出移动端以来的首次改名。淘宝A
京东自营是否有假货?如何分辨?很多小伙伴都非常信赖京东自营店,因为大家觉得自营店他的货源渠道是非常可靠的,相对来说假货没那么多,但是万事没有绝对,大家还是还是想知道京东自营店是否会卖假货?京东自营是否有假货?首
快讯顺丰回应UU跑腿发文斥其帮排队抄袭不予回应财经网科技5月29日讯,据UU跑腿官博消息,近日,UU跑腿发布了关于对顺丰同城急送产品及设计团队发展的几条建议喊话顺丰,称顺丰同城急送小程序新上线的帮排队功能,其名称介绍文案图标设
RedmiNote10的隐喻小米加速超越苹果?王如晨文RedmiNote10系列赶在小米集团2021Q1财报前发布,有较深用意。那就是,在一项出色的季报之后,进一步对外传递增长信号。而且,这轮增长,不仅事关小米全球市占与地位,
币圈惊魂100天那些暴富暴跌爆仓的人深燃(shenrancaijing)原创作者周继凤编辑黎明爆仓了,亏完了,我现在不持有任何加密货币了。一位投资了比特币和狗狗币的币圈玩家,在经历了5月19日的加密货币集体暴跌后,亏