Google Play 商店删除百度的两个Android应用程序
属于中国科技巨头百度的两个 Android 应用程序已于10月底从官方Google Play商店中删除。android
谷歌表示收到美国网络安全公司 Palo Alto Networks的报告(https://unit42.paloaltonetwor...),报告称百度地图和百度搜索这两个应用程序包含收集用户信息的代码,这条代码位于百度Push SDK中,用于在两个应用程序内显示实时通知。安全
两位识别数据收集行为的研究员Stefan Achleitner和Xuchengcheng认为,该代码收集了:网络
- 手机型号
- 屏幕分辨率
- 电话MAC地址
- 无线运营商
- 网络(Wi-Fi、2G、3G、4G、5G)
- Android ID
- 国际移动用户识别码(IMSI)
- 和国际移动设备识别码(IMEI)
虽然所收集的某些信息“无害”,但诸如IMSI和IMEI代码之类的某些数据能够用于惟一地识别和跟踪用户,即便该用户切换到另外一部电话也是如此。app
研究小组说,谷歌针对 Android 应用的政策并未特别禁止收集我的用户详细信息。报告指出,虽然上述百度应用并未违反Google的Android应用程序政策,但根据Android最佳作法指南,Google建议开发者不要收集诸如IMSI或MAC地址之类的标识符。spa
但在向 Google 报告问题后,Google Play商店安全小组证明了研究小组的发现,并启动了两次调查,最终这两个应用程序于10月28日从官方商店中删除。3d
百度发言人回应:「虽然Palo Alto Networks报告中的数据收集行为引起了Google团队的调查,但数据收集行为并非这两个应用程序从Play商店中撤出的缘由。由于百度在中国已得到用户的许可,能够从用户那里收集此信息。」blog
百度搜索在2020年11月19日在Google Play从新上架,但百度地图仍未被从新上架。网络安全
在删除以前,这两个应用的下载量总计超过600万。开发
Palo Alto Networks团队还表示,他们还在MobTech开发的 Share SDK中识别了相似的数据收集代码。rem
Achleitner和Xu表示,该SDK已被37,500多个应用程序使用,该SDK还容许应用程序开发人员收集数据,例如电话型号信息,屏幕分辨率,MAC地址,Android ID,广告ID,运营商信息和IMSI(国际移动订户身份)以及IMEI(国际移动设备识别码)代码。
Achleitner和Xu表示:“对Android恶意软件的分析代表,恶意应用程序常常使用SDK(例如Baidu Push SDK或ShareSDK)来提取和传输设备数据,”他暗示,尽管这些SDK多是出于合法目的而开发的,例如在社交媒体上推送通知和共享内容,它们常常被恶意应用程序的开发人员滥用。
总而言之,这不只是Android生态系统的一个常规问题,并且对于整个在线应用程序世界也是一个常规问题,许多应用程序在没有专门禁止此类行为的法规的状况下不受限制地收集敏感的用户详细信息。
Palo Alto Networks的报告:
https://unit42.paloaltonetworks.com/android-apps-data-leakage/
内容参考:
https://www.zdnet.com/article/baidus-android-apps-caught-collecting-sensitive-user-details/
