查看原文
其他

谷歌数十款应用程序秘密收集个人数据,涉及设备超6000万台

近日,谷歌从Google Play商店下架了简约天气、高速公路雷达、二维码扫瞄器等数十款应用程序,原因是这些应用程序内置一个秘密获取数据的软件代码包含剪贴板内容、电话号码、电子邮件地址在内的数据能借此被秘密收集。其中多个应用程序的下载量已超千万次。 

数十款应用程序被下架

据4月7日消息,国际计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓应用程序漏洞搜索的审计工作中,发现巴拿马公司Measurement Systems S.de R.L.编写并植入的软件开发工具包(SDK)代码,能够秘密地获取用户数据该SDK代码最开始被发现于多个下载次数超1000万的应用程序中。

研究人员表示,隐藏在应用程序中的SDK代码可以获取的数据包括:

  • 剪贴板内容、电话号码、电子邮件地址在内的数据

  • 除基于路由器的较粗略位置数据外,还能收集精确的GPS数据,并建立数据库,将电子邮件和电话号码与GPS历史位置相对应。

这意味着,通过这些数据,能在仅知道个人电话号码或邮件的情况下,查询其历史位置信息。

目前,谷歌已将内置上述SDK代码的数十个应用程序从Google Play商店中下架,其中包括高速公路超速检测应用程序(Speed Camera Radar)、QR和条形码扫描仪(QR & Barcode Scanner)及简约天气和时钟小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon发现,尽管自相关信息被曝光后,该SDK已停止运行,没有继续收集数据,但这些代码仍保有从已安装相关应用程序的手机中收集数据的能力。

谷歌发言人表示,因涉及用户数据收集而被下架的应用程序,若已删除了违规代码,可重新申请在Google Play商店中上架。

应用程序的数据安全问题何解?

事实上,这并非Google Play商店第一次出现应用程序的安全问题。

2月16日,谷歌宣布在安卓上构建隐私沙盒的计划引入更具有私密性的广告解决方案,对与第三方共享用户数据的行为加以限制。同时,谷歌还在探索相关技术以限制秘密收集数据的情况,其中包含能让应用程序与广告SDK整合更安全的方式——预计在2023年下半年用隐私沙盒取代Chrome浏览器中基于跟踪cookie的定向广告,更好地保护用户的隐私的同时可以有效产生广告收入。

根据此前的报道,谷歌的隐私沙盒计划于3月31日进入全球测试阶段,开发者可以开始在全球范围内测试Chrome浏览器Canary版本中的话题、FLEDGE和归因报告API。此外,还将开始测试更新的隐私沙盒设置和控制——允许用户查看和管理与他们隐私利益相关的设置。

此外,为防止有害的应用程序进入应用商店,Google Play商店还于4月6日对开发政策进行了更新,要求自2022年11月1日起,对于商店内未更新的现有程序,若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的API级别,则无法提供给设备运行较新版安卓操作系统的新用户。

*来源:21世纪经济报道

近期文章精选


「国内+国际」隐私保护人员权威认证培训


赛博研究院是国内个人信息保护专业人员权威认证品牌CISP-PIP的官方指定授权培训机构,BSI中国是国际隐私专业协会(IAPP)独家授权的中国区官方培训合作伙伴,双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作,共同推进数据隐私专业人才培养,提升各类企业数据安全合规能力。





扫描下方二维码立即报名,关于CISP-PIP、IAPP认证培训更多信息,请联系专属顾问:


咨询电话:021-61432696

丁老师 15601773140


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存