收集上千万用户数据:11 款应用代码被曝或与美国官方「有染」

软餐获悉,2021 年 10 月,谷歌的 Play 商店内有 11 款 Android 应用程序被曝出在用户不知情的情况下存在收集大量数据的行为。而据《华尔街日报》近日报道,这些软件嵌入的 SDK 代码的提供者与美国官方 “有染”,美国政府部门有可能正在购买这些应用收集的数据。

来自美国移动应用程序安全研究机构 AppCenus 的研究者 Serge Egelman 和 Joel Reardon 在去年 10 月与谷歌、美国政府和华尔街日报分享他们的研究发现——至少有 11 款 Android 应用程序存在大量手机数据的代码,它们的下载量都超过 1000 万次。

这些应用包括:

  • Speed Camera Radar
  • Al-Moazin Lite
  • QR & Barcode Scanner
  • Qibla Compass Ramadan 2022
  • Wifi Mouse(remote control PC)
  • Simple weather & clock widget
  • Handcent Next SMS-Text w/MMS
  • Smart Kit 36​​0
  • Al Quran mp3 – 50 Reciters & Translation Audio
  • Full Quran MP3 – 50+ Languages & Translation Audio
  • Audiosdroid Audio Studio DAW。

研究者称,其中一些应用程序会收集用户的剪贴板内容、设备电话号码、电子邮件地址,并在某些情况下收集 GPS 位置,还会扫描网络以查找连接的设备并收集 MAC 地址。但并非每款应用都收集了相同的数据。这些软件还可以发起远程控制,并包含发送短信或模拟鼠标点击的选项。

研究发布后,这些应用程序已被谷歌从 Play 商店中删除。

研究人员表示,这些软件都嵌入了 Measurement Systems SDK 代码,该 SDK 关联到了巴拿马公司 Measurement Systems S. de RL,这是一家在巴拿马以外运营并与美国政府有联系的美国公司。Measurement Systems 向全球开发者付费,以将其 SDK 代码嵌入到他们的应用程序中。而美国国防部出于美国国家安全的考虑,从该公司购买数据——尚不清楚美国政府是否也使用了这家公司通过应用程序收集的数据。

据悉,在研究成果发布后,这些应用就停止了其数据收集行为。而谷歌也已从 Play 商店中删除了包含该软件的应用程序,谷歌发言人表示,这些应用程序违反了 Play 商店关于数据收集的规则。

收集上千万用户数据:11款应用代码被曝或与美国官方「有染」
(0)
余渝的头像余渝

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注