近日,据PaloAltoNetworks旗下UNIT42研究组最新报告,GooglePlay(通常被认为是业界最安全的Android应用商店),两款百度应用总下载量超过600万的百度搜索框和百度地图,存在泄露用户敏感数据的安全问题。UNIT42的报告指出,移动应用的数据泄露是业界众所周知的问题。数据泄露不仅侵犯了用户的隐私,还可能被网络犯罪分子用于进一步的攻击,例如收集电话位置或获取被叫号码。通过滥用泄露的数据,攻击者可以在用户不知情的情况下从用户的设备传输或接收信息。借助基于机器学习(ML)的间谍软件检测系统,UNIT42的研究人员在GooglePlay上发现了多个泄露数据的Android应用程序,其中影响最大的两个是百度搜索框和百度地图,这两个应用程序总共有600万在GooglePlay下载。这些Android程序泄露的数据允许攻击者识别和跟踪用户,即使他们更换了手机。研究人员发现,该应用程序收集了一系列用户(设备)信息,包括:手机型号屏幕分辨率手机MAC地址无线运营商网络(Wi-Fi、2G、3G、4G、5G)AndroidID国际移动用户标识符(IMSI)和国际移动设备识别码(IMEI)IMEI是物理设备(手机硬件)的唯一标识符,包含制造日期和硬件规格等信息。IMSI是唯一的蜂窝网络用户标识符,通常与手机SIM卡相关联,这两个标识符都可以用于在蜂窝网络上跟踪和定位用户。研究人员警告说,收集此类数据的Android应用程序可以在多个设备的生命周期内跟踪用户。百度地图v10.24.8的Android程序中,收集手机型号、MAC地址、IMSI码的代码来源:UNIT42报告指出:“如果用户换SIM卡到新手机,安装之前收集并发送IMSI号码程序的应用程序,应用程序开发人员仍然能够唯一地识别用户。”网络罪犯可以使用各种拦截工具,例如主动和被动IMSI捕捉器,来“窃听”来自手机用户的消息。一旦获得这些数据,网络犯罪分子就可以对用户进行分析并进一步提取有关他们的敏感信息。例如,如果网络犯罪分子拥有手机的IMEI号码,他们可以使用它来报告手机被盗并触发提供商禁用该设备并阻止其访问网络(通常作为社会工程攻击的一部分进行)。网络罪犯或民族国家黑客也可能滥用这些数据侵犯用户的隐私权,并使用泄露的信息来拦截电话或短信。如果网络犯罪分子或民族国家黑客拦截以纯文本或弱加密方式传输的信息,可能会使用户面临更大的风险。UNIT42研究人员在深入了解消息内容并分析了多个Android应用程序后,确定了百度的Android推送SDK是消息的来源。该SDK已被一些最大的百度应用程序广泛使用,例如百度地图或百度搜索框。报道指出,另一个可以收集用户手机敏感信息的AndroidSDK是中国供应商MobTech提供的ShareSDK。ShareSDK支持40多个社交媒体平台。它帮助第三方应用程序开发人员轻松访问社交媒体共享和注册。它还允许他们获取用户的信息、好友列表和其他社交功能。目前ShareSDK已为超过37500款应用提供服务,已成为国内最大的开发者服务平台。除了百度地图(版本10.24.8)和搜索框,UNIT42还发现美国GooglePlay应用商店中还有其他具有类似行为的热门应用,包括Homestyler–InteriorDesign&DecoratingIdeas应用,它使用GrowingIO框架。如上表所示,该应用还会从用户的设备中收集个人信息,但该应用并未被谷歌下架。报告指出,虽然上述百度应用程序并未违反谷歌的Android应用程序政策,但谷歌建议开发人员不要根据Android最佳实践指南收集IMSI或MAC地址等标识符。据报道,UNIT42将这一发现通知了百度以及谷歌的Android团队,后者证实了这一发现,发现了未指明的违规行为,并于2020年10月28日在全球范围内从GooglePlay中删除了这些应用程序。百度搜索框的兼容版本在谷歌上重新启动2020年11月19日播放,但百度地图仍然无法在全球范围内使用。谷歌的Android团队表示:“我们感谢研究社区和像PaloAltoNetworks这样的公司所做的工作,他们正在努力加强PlayStore的安全性。我们期待在未来与他们合作进行更多的研究。”Android团队进一步指出:Android某些来自官方应用商店(如GooglePlay)的应用有时表现得像Android恶意软件,一些流行的应用每月有数百万活跃用户。为防止数据泄露,Android应用程序开发人员应遵循Android的最佳实践指南并妥善处理用户数据。Android用户应及时了解应用程序在其设备上请求的所需权限。
