近日，谷歌从Google Play商店下架了简约天气、高速公路雷达、二维码扫瞄器等数十款应用程序，原因是这些应用程序内置一个秘密获取数据的软件代码，包含剪贴板内容、电话号码、电子邮件地址在内的数据能借此被秘密收集。其中多个应用程序的下载量已超千万次。 

据4月7日消息，国际计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓应用程序漏洞搜索的审计工作中，发现巴拿马公司Measurement Systems S.de R.L.编写并植入的软件开发工具包(SDK)代码，能够秘密地获取用户数据。该SDK代码最开始被发现于多个下载次数超1000万的应用程序中。

研究人员表示，隐藏在应用程序中的SDK代码可以获取的数据包括：

• 剪贴板内容、电话号码、电子邮件地址在内的数据。

• 除基于路由器的较粗略位置数据外，还能收集精确的GPS数据，并建立数据库，将电子邮件和电话号码与GPS历史位置相对应。

这意味着，通过这些数据，能在仅知道个人电话号码或邮件的情况下，查询其历史位置信息。

目前，谷歌已将内置上述SDK代码的数十个应用程序从Google Play商店中下架，其中包括高速公路超速检测应用程序（Speed Camera Radar）、QR和条形码扫描仪（QR & Barcode Scanner）及简约天气和时钟小部件（Simple weather & clock widget）等。但Serge Egelman 和Joel Reardon发现，尽管自相关信息被曝光后，该SDK已停止运行，没有继续收集数据，但这些代码仍保有从已安装相关应用程序的手机中收集数据的能力。

谷歌发言人表示，因涉及用户数据收集而被下架的应用程序，若已删除了违规代码，可重新申请在Google Play商店中上架。

事实上，这并非Google Play商店第一次出现应用程序的安全问题。

2月16日，谷歌宣布在安卓上构建隐私沙盒的计划，引入更具有私密性的广告解决方案，对与第三方共享用户数据的行为加以限制。同时，谷歌还在探索相关技术以限制秘密收集数据的情况，其中包含能让应用程序与广告SDK整合更安全的方式——预计在2023年下半年用隐私沙盒取代Chrome浏览器中基于跟踪cookie的定向广告，更好地保护用户的隐私的同时可以有效产生广告收入。

根据此前的报道，谷歌的隐私沙盒计划于3月31日进入全球测试阶段，开发者可以开始在全球范围内测试Chrome浏览器Canary版本中的话题、FLEDGE和归因报告API。此外，还将开始测试更新的隐私沙盒设置和控制——允许用户查看和管理与他们隐私利益相关的设置。

此外，为防止有害的应用程序进入应用商店，Google Play商店还于4月6日对开发政策进行了更新，要求自2022年11月1日起，对于商店内未更新的现有程序，若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的API级别，则无法提供给设备运行较新版安卓操作系统的新用户。

*来源：21世纪经济报道

• 国务院：加快建设全国统一大市场，培育数据要素市场

• 501票赞成！欧洲议会通过《数据治理法案》

• 谷歌启动“隐私沙盒”全球测试，拟取代基于跟踪cookie的定向广告