软餐获悉,2021 年 10 月,谷歌的 Play 商店内有 11 款 Android 应用程序被曝出在用户不知情的情况下存在收集大量数据的行为。而据《华尔街日报》近日报道,这些软件嵌入的 SDK 代码的提供者与美国官方 “有染”,美国政府部门有可能正在购买这些应用收集的数据。
来自美国移动应用程序安全研究机构 AppCenus 的研究者 Serge Egelman 和 Joel Reardon 在去年 10 月与谷歌、美国政府和华尔街日报分享他们的研究发现——至少有 11 款 Android 应用程序存在大量手机数据的代码,它们的下载量都超过 1000 万次。
这些应用包括:
- Speed Camera Radar
- Al-Moazin Lite
- QR & Barcode Scanner
- Qibla Compass Ramadan 2022
- Wifi Mouse(remote control PC)
- Simple weather & clock widget
- Handcent Next SMS-Text w/MMS
- Smart Kit 360
- Al Quran mp3 – 50 Reciters & Translation Audio
- Full Quran MP3 – 50+ Languages & Translation Audio
- Audiosdroid Audio Studio DAW。
研究者称,其中一些应用程序会收集用户的剪贴板内容、设备电话号码、电子邮件地址,并在某些情况下收集 GPS 位置,还会扫描网络以查找连接的设备并收集 MAC 地址。但并非每款应用都收集了相同的数据。这些软件还可以发起远程控制,并包含发送短信或模拟鼠标点击的选项。
研究发布后,这些应用程序已被谷歌从 Play 商店中删除。
研究人员表示,这些软件都嵌入了 Measurement Systems SDK 代码,该 SDK 关联到了巴拿马公司 Measurement Systems S. de RL,这是一家在巴拿马以外运营并与美国政府有联系的美国公司。Measurement Systems 向全球开发者付费,以将其 SDK 代码嵌入到他们的应用程序中。而美国国防部出于美国国家安全的考虑,从该公司购买数据——尚不清楚美国政府是否也使用了这家公司通过应用程序收集的数据。
据悉,在研究成果发布后,这些应用就停止了其数据收集行为。而谷歌也已从 Play 商店中删除了包含该软件的应用程序,谷歌发言人表示,这些应用程序违反了 Play 商店关于数据收集的规则。
微信扫一扫