Google Play 商店刪除百度的兩個(gè)Android應(yīng)用程序

屬于中國科技巨頭百度的兩個(gè)Android應(yīng)用程序已于10月底從官方Google Play商店中刪除。

谷歌表示收到美國網(wǎng)絡(luò)安全公司Palo Alto Networks的報(bào)告，報(bào)告稱百度地圖和百度搜索這兩個(gè)應(yīng)用程序包含收集用戶信息的代碼，這條代碼位于百度Push SDK中，用于在兩個(gè)應(yīng)用程序內(nèi)顯示實(shí)時(shí)通知。

兩位識(shí)別數(shù)據(jù)收集行為的研究員Stefan Achleitner和Xuchengcheng認(rèn)為，該代碼收集了：

·手機(jī)型號(hào)

·屏幕分辨率

·電話MAC地址

·無線運(yùn)營商

·網(wǎng)絡(luò)（Wi-Fi、2G、3G、4G、5G）

·Android ID

·國際移動(dòng)用戶識(shí)別碼（IMSI）

·和國際移動(dòng)設(shè)備識(shí)別碼（IMEI)

雖然所收集的某些信息“無害”，但諸如IMSI和IMEI代碼之類的某些數(shù)據(jù)可以用于唯一地識(shí)別和跟蹤用戶，即使該用戶切換到另一部電話也是如此。

研究小組說，谷歌針對(duì)Android應(yīng)用的政策并未特別禁止收集個(gè)人用戶詳細(xì)信息。報(bào)告指出，雖然上述百度應(yīng)用并未違反Google的Android應(yīng)用程序政策，但根據(jù)Android最佳做法指南，Google建議開發(fā)者不要收集諸如IMSI或MAC地址之類的標(biāo)識(shí)符。

但在向Google報(bào)告問題后，Google Play商店安全小組證實(shí)了研究小組的發(fā)現(xiàn)，并啟動(dòng)了兩次調(diào)查，最終這兩個(gè)應(yīng)用程序于10月28日從官方商店中刪除。

百度發(fā)言人回應(yīng)：「雖然Palo Alto Networks報(bào)告中的數(shù)據(jù)收集行為引發(fā)了Google團(tuán)隊(duì)的調(diào)查，但數(shù)據(jù)收集行為并不是這兩個(gè)應(yīng)用程序從Play商店中撤出的原因。因?yàn)榘俣仍谥袊勋@得用戶的許可，可以從用戶那里收集此信息?！?/span>

百度搜索在2020年11月19日在Google Play重新上架，但百度地圖仍未被重新上架。

在刪除之前，這兩個(gè)應(yīng)用的下載量總計(jì)超過600萬。

Palo Alto Networks團(tuán)隊(duì)還表示，他們還在MobTech開發(fā)的Share SDK中識(shí)別了類似的數(shù)據(jù)收集代碼。

Achleitner和Xu表示，該SDK已被37,500多個(gè)應(yīng)用程序使用，該SDK還允許應(yīng)用程序開發(fā)人員收集數(shù)據(jù)，例如電話型號(hào)信息，屏幕分辨率，MAC地址，Android ID，廣告ID，運(yùn)營商信息和IMSI（國際移動(dòng)訂戶身份）以及IMEI（國際移動(dòng)設(shè)備識(shí)別碼）代碼。

Achleitner和Xu表示：“對(duì)Android惡意軟件的分析表明，惡意應(yīng)用程序經(jīng)常使用SDK（例如Baidu Push SDK或ShareSDK）來提取和傳輸設(shè)備數(shù)據(jù)，”他暗示，盡管這些SDK可能是出于合法目的而開發(fā)的，例如在社交媒體上推送通知和共享內(nèi)容，它們經(jīng)常被惡意應(yīng)用程序的開發(fā)人員濫用。

總而言之，這不僅是Android生態(tài)系統(tǒng)的一個(gè)常規(guī)問題，而且對(duì)于整個(gè)在線應(yīng)用程序世界也是一個(gè)常規(guī)問題，許多應(yīng)用程序在沒有專門禁止此類行為的法規(guī)的情況下不受限制地收集敏感的用戶詳細(xì)信息。

Palo Alto Networks的報(bào)告：

https://unit42.paloaltonetworks.com/android-apps-data-leakage/

內(nèi)容參考：

https://www.zdnet.com/article/baidus-android-apps-caught-collecting-sensitive-user-details/