秘密收集个人数据,涉及超过6000万台设备,谷歌删除了数十个应用程序,因为它们包含一个秘密收集数据的软件代码,其中几个已被下载超过1000万次。发现该代码的研究人员表示,该代码由一家巴拿马公司MeasurementSystems编写并付费,将其嵌入到该应用程序中,允许秘密收集包括剪贴板内容、电话号码和电子邮件地址在内的数据。此前,为防止有害应用进入应用商店,GooglePlay商店于4月6日更新了开发政策,要求自2022年11月1日起,对于商店中尚未更新的现有程序,如果目标API不符合最新主要Android版本两年内推出的级别的新用户无法使用运行较新版本Android操作系统的设备。数十款应用被下架据4月7日消息,国际计算机科学研究所和加州大学伯克利分校的研究员SergeEgelman和卡尔加里大学的研究员JoelReardon发现,巴拿马由MeasurementSystemsS.deR.L.公司编写并嵌入的软件开发工具包(SDK)代码能够秘密获取用户数据。SDK代码首先出现在多个下载量超过1000万的应用程序中。研究人员表示,隐藏在应用程序中的SDK代码可以访问包括剪贴板内容、电话号码和电子邮件地址在内的数据。除了基于路由器的粗略位置数据外,该代码还收集精确的GPS数据并建立一个数据库,将电子邮件和电话号码映射到历史GPS位置。也就是说,通过这些数据,可以在只知道电话号码或邮箱的情况下,查询到一个人的历史位置信息。报道称,从公司记录和互联网域名注册信息来看,MeasurementSystems与一家位于弗吉尼亚州的国防承包商有关,后者参与为美国国家安全机构提供网络情报、网络防御和情报拦截工作。MeasurementSystems向世界各地的开发人员支付费用,让他们将代码放入超过6000万台设备的应用程序中。目前,谷歌已经从GooglePlayStore中下架了数十款内置上述SDK代码的应用,包括高速公路测速应用(SpeedCameraRadar)、二维码扫描器(QR&BarcodeScanner)和简单的天气和时钟小部件(Simpleweather&clockwidget)等。但SergeEgelman和JoelReardon发现,虽然自身相关信息暴露后SDK已经停止运行,不再继续采集数据,但代码中仍然保留了从安装了相关应用程序的手机中收集数据的能力。谷歌发言人表示,如果违规代码已被删除,因收集用户数据而被下架的应用程序可以重新申请在GooglePlay商店上架。目前,包括SpeedCameraRadar、WiFiMouse(远程控制PC)和QR&BarcodeScanner在内的部分应用已重新上架GooglePlay商店。应用程序安全问题频发这并不是GooglePlay商店第一次出现应用程序安全问题。2022年3月3日,老牌代码安全审计机构NCCGroup发布了一份报告,分析了远程访问银行的木马SharkBot的工作原理,以及如何绕过GooglePlayStore的安全措施。SharkBot于2021年10月末被威胁情报团队Cleafy发现。它使用自动转账系统(ATS)技术在植入设备中发起资金转账。一旦特洛伊木马检测到正在运行的银行应用程序,它可以按特定顺序模拟一系列事件,使汇款程序与银行的交互保持一致,从而使欺诈检测系统更难检测到欺诈行为。截至报告发布时,假冒防病毒应用程序SharkBotDropper在GooglePlay商店中的下载量已超过1000次。为了防止有害应用进入Play商店,4月6日,GooglePlay商店更新了开发政策。其中,为了防止用户安装可能不具备最新隐私和安全功能的应用程序,谷歌扩大了其目标级别的API要求。从2022年11月1日起,商店中未更新且目标API级别不符合最新主要Android版本发布两年内引入的API级别的现有应用将无法用于运行较新版本Android的设备New操作系统的用户。此前,为了引入更加私密的广告解决方案,谷歌在2月16日宣布了一项计划,即在Android上构建一个隐私沙箱,以限制与第三方共享用户数据。与此同时,谷歌也在探索限制秘密收集数据的技术,包括使应用程序更安全地与广告SDK集成的方法。谷歌表示该计划将持续多年。
