信息來源:ZAKER
在美國網(wǎng)絡(luò)安全公司 Palo Alto Networks 報告發(fā)布后,谷歌隨機(jī)對兩款來自百度的 Android 應(yīng)用展開了調(diào)查。報告稱百度搜索框和地圖應(yīng)用內(nèi)含收集用戶信息的代碼,而谷歌也在 2020 年 10 月將之從 Play 商店下架。不過上周,百度搜索框再次出現(xiàn)在了廣大用戶的面前。
谷歌 Play 商店截圖
具體說來是,Palo Alto Networks 稱數(shù)據(jù)收集代碼存在于百度推送 SDK 中,用于在兩款 App 內(nèi)顯示實(shí)時通知。然而數(shù)據(jù)收集行為研究員 Stefan Achleitner 和 Xuchengcheng 指出:
該代碼會收集包括電話型號、MAC 地址、運(yùn)營商信息、國際移動訂閱用戶身份(IMSI)等在內(nèi)的詳細(xì)信息。
Achleitner 和 Xu 補(bǔ)充道,盡管這種行為看似無害,但諸如 IMSI 代碼之類的數(shù)據(jù),仍可被用于精準(zhǔn)識別和追蹤用戶,即使該用戶切換到了另一設(shè)備也無解。
一方面,盡管向谷歌報告了此事,但尷尬的是,該公司的 Android 應(yīng)用政策并未特別禁止收集個人用戶的詳細(xì)信息。
不過另一方面,Play 商店安全研究團(tuán)隊(duì)還是在兩次調(diào)查中發(fā)現(xiàn)了百度 App 的其它未指明的違規(guī)情況,最終導(dǎo)致兩款 App 于 2020 年 10 月 28 日被官方應(yīng)用商店下架。
百度發(fā)言人在今日的一封電子郵件中稱,最初報告提到的數(shù)據(jù)收集行為引發(fā)了谷歌團(tuán)隊(duì)的調(diào)查,但這并不是兩款 App 被 Play 商店下架的原因,因?yàn)樵摴疽褟挠脩裟抢铽@得了收集此類信息的許可。
與此同時,百度團(tuán)隊(duì)表示正在努力解決谷歌發(fā)現(xiàn)的其它問題。截止發(fā)稿時,百度搜索框應(yīng)用已經(jīng)重返 Play 商店,而地圖應(yīng)用也會在修復(fù)相關(guān)問題后盡快回歸。
10 月下架之前,兩款百度 App 的下載量總計(jì)超過了 600 萬。此外 Palo Alto Networks 研究人員在中國廣告技術(shù)巨頭 MobTech 開發(fā)的 ShareSDK 中發(fā)現(xiàn)了類似的數(shù)據(jù)收集代碼。
Achleitner 和 Xu 表示,該 SDK 已被 37500 多款應(yīng)用程序使用,且允許開發(fā)者收集包括電話型號、屏幕分辨率、MAC 地址、Android ID、廣告 ID、運(yùn)營商 / IMSI / IMEI 等在內(nèi)的個人信息。
顯然,這類事件并非孤立發(fā)生,而是圍繞 Android 生態(tài)的一個老大難問題。