美國資安業者Palo Alto Networks旗下的威脅情報團隊Unit 42在本周指出,他們發現了Google Play上有許多程式外洩用戶的機密資料,諸如手機MAC位址、IMSI及IMEI等,包含了在美國下載量高達600萬次的百度搜尋(Baidu Search Box)與百度地圖(Baidu Maps),而使得Google將它們全部下架,其中,百度搜尋已於11月19日重新上架,而百度地圖迄今仍消失於Google Play上。

Unit 42所定義的外洩資料是程式會在使用者不知情的狀況下,傳送使用者裝置上的特定資料,並於接收端蒐集,亦可能會在傳輸過程中將資料曝露予第三方。而Unit 42則利用基於機器學習技術的間諜軟體偵測系統,找到了Google Play上可能外洩使用者資料的諸多程式,這些資料將讓使用者可被追蹤,且也許是終生被追蹤。

在Unit 42所發現的程式中,該團隊特別點名了在美國總計有600萬次下載量的百度搜尋及百度地圖,指出這兩個程式蒐集了手機型號、Mac位址、電信業者的資料與IMSI(International Mobile Subscriber Identity)。其中,Mac位址是用來確認網路裝置位置的位址,IMSI則是國際行動用戶辨識碼,它是電信業者賦予用戶的獨特號碼,通常伴隨著手機的SIM卡,因此,就算使用者更換了裝置,但採用同樣的電話號碼,程式依然可透過IMSI來辨識使用者。

研究人員表示,其實蒐集裝置上的IMSI或Mac位址並未明確違反Google的Android程式開發政策,只是Google並不鼓勵程式蒐集這些可辨識個人的資料,但Google在分析了Unit 42的發現之後,認為百度還是違反了某些政策,於10月28日移除全球市場上的百度搜尋及百度地圖,其中,百度搜尋已於11月19日重新上架,而百度地圖則尚無蹤影。百度搜尋在美國市場的下載量為500萬次,百度地圖則是100萬次。

根據Unit 42的研究,蒐集用戶資訊的是百度的Android Push SDK,許多百度程式都採用了該SDK,且除了Android Push SDK之外,由中國研究機構MobTech所發布的ShareSDK可能更值得探究。ShareSDK是一個整合了逾40個社交平台的SDK,可用來存取社交平台上的使用者資訊及聯絡人名單,並執行精準行銷,不過,它不只蒐集了MAC位址、Android ID、廣告ID、IMEI與IMSI等資料,而且有超過3.7萬款程式採用ShareSDK。

儘管這些SDK的開發是基於合法用途,然而,Unit 42的調查卻發現,不管是Android Push SDK或ShareSDK都經常被惡意程式用來汲取及傳輸裝置資料,侵犯了使用者的隱私。


Advertisement

更多 iThome相關內容