谷歌数十款应用程序秘密收集个人数据,涉及设备超6000万台
近日,谷歌从Google Play商店下架了简约天气、高速公路雷达、二维码扫瞄器等数十款应用程序,原因是这些应用程序内置一个秘密获取数据的软件代码,包含剪贴板内容、电话号码、电子邮件地址在内的数据能借此被秘密收集。其中多个应用程序的下载量已超千万次。
据4月7日消息,国际计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓应用程序漏洞搜索的审计工作中,发现巴拿马公司Measurement Systems S.de R.L.编写并植入的软件开发工具包(SDK)代码,能够秘密地获取用户数据。该SDK代码最开始被发现于多个下载次数超1000万的应用程序中。
研究人员表示,隐藏在应用程序中的SDK代码可以获取的数据包括:
剪贴板内容、电话号码、电子邮件地址在内的数据。
除基于路由器的较粗略位置数据外,还能收集精确的GPS数据,并建立数据库,将电子邮件和电话号码与GPS历史位置相对应。
这意味着,通过这些数据,能在仅知道个人电话号码或邮件的情况下,查询其历史位置信息。
目前,谷歌已将内置上述SDK代码的数十个应用程序从Google Play商店中下架,其中包括高速公路超速检测应用程序(Speed Camera Radar)、QR和条形码扫描仪(QR & Barcode Scanner)及简约天气和时钟小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon发现,尽管自相关信息被曝光后,该SDK已停止运行,没有继续收集数据,但这些代码仍保有从已安装相关应用程序的手机中收集数据的能力。
谷歌发言人表示,因涉及用户数据收集而被下架的应用程序,若已删除了违规代码,可重新申请在Google Play商店中上架。
事实上,这并非Google Play商店第一次出现应用程序的安全问题。
2月16日,谷歌宣布在安卓上构建隐私沙盒的计划,引入更具有私密性的广告解决方案,对与第三方共享用户数据的行为加以限制。同时,谷歌还在探索相关技术以限制秘密收集数据的情况,其中包含能让应用程序与广告SDK整合更安全的方式——预计在2023年下半年用隐私沙盒取代Chrome浏览器中基于跟踪cookie的定向广告,更好地保护用户的隐私的同时可以有效产生广告收入。
根据此前的报道,谷歌的隐私沙盒计划于3月31日进入全球测试阶段,开发者可以开始在全球范围内测试Chrome浏览器Canary版本中的话题、FLEDGE和归因报告API。此外,还将开始测试更新的隐私沙盒设置和控制——允许用户查看和管理与他们隐私利益相关的设置。
此外,为防止有害的应用程序进入应用商店,Google Play商店还于4月6日对开发政策进行了更新,要求自2022年11月1日起,对于商店内未更新的现有程序,若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的API级别,则无法提供给设备运行较新版安卓操作系统的新用户。
*来源:21世纪经济报道
「国内+国际」隐私保护人员权威认证培训
赛博研究院是国内个人信息保护专业人员权威认证品牌(CISP-PIP)的官方指定授权培训机构,BSI中国是国际隐私专业协会(IAPP)独家授权的中国区官方培训合作伙伴,双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作,共同推进数据隐私专业人才培养,提升各类企业数据安全合规能力。
扫描下方二维码立即报名,关于CISP-PIP、IAPP认证培训更多信息,请联系专属顾问:
咨询电话:021-61432696
丁老师 15601773140