近日,谷歌从Google Play商店下架了天气、高速公路雷达、二维码扫瞄器等数十款应用程序,原因是这些应用程序内置一个秘密获取数据的软件代码,其中多个应用程序的下载量已超千万次。
发现代码的研究人员表示,代码是由一家巴拿马公司Measurement Systems编写并付费植入应用程序中的,包含剪贴板内容、电话号码、电子邮件地址在内的数据能借此被秘密收集。
此前,为防止有害的应用程序进入应用商店, Google Play商店于4月6日对开发政策进行了更新,要求自2022年11月1日起,对于商店内未更新的现有程序,若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别,则无法提供给设备运行较新版安卓操作系统的新用户。
数十款应用程序被下架
据4月7日消息,国际计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓应用程序漏洞搜索的审计工作中,发现巴拿马公司Measurement Systems S. de R.L.编写并植入的软件开发工具包(SDK)代码,能够秘密地获取用户数据。该SDK代码最开始被发现于多个下载次数超1000万的应用程序中。
研究人员表示,隐藏在应用程序中的SDK代码可以获取包含剪贴板内容、电话号码、电子邮件地址在内的数据。除基于路由器的较粗略位置数据外,该代码还能收集精确的 GPS数据 ,并建立数据库,将电子邮件和电话号码与GPS历史位置相对应。也就是说,通过这些数据,能在仅知道个人电话号码或邮件的情况下,查询其历史位置信息。
报道称,从公司记录及互联网域名注册信息可知,Measurement Systems与一家弗吉尼亚州的国防承包商有关联,后者参与了为美国国家安全机构提供网络情报、网络防御和情报拦截的工作。Measurement Systems 通过支付给世界各地开发人员费用,将代码置入应用程序,涉及的设备已超过6000万台。
目前,谷歌已将内置上述SDK代码的数十个应用程序从Google Play商店中下架,其中包括高速公路超速检测应用程序(Speed Camera Radar)、QR和条形码扫描仪(QR & Barcode Scanner)及简约天气和时钟小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon发现,尽管自相关信息被曝光后,该SDK已停止运行,没有继续收集数据,但这些代码仍保有从已安装相关应用程序的手机中收集数据的能力。
谷歌发言人表示,因涉及用户数据收集而被下架的应用程序,若已删除了违规代码,可重新申请在Google Play商店中上架。目前,包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在内的一些应用程序已回归Google Play商店 。
应用程序安全问题频发
这并非Google Play商店第一次出现应用程序的安全问题。
2022年3月3日,老牌代码安全审计机构NCC Group发布了一份报告,对一个远程访问银行的木马SharkBot的工作原理及其如何绕过Google Play商店的安全措施进行了分析。
SharkBot于2021年10月末被威胁情报团队Cleafy发现,它通过自动转账系统(ATS)技术在被植入的设备中发起资金转账。该木马一旦检测到运行的银行应用程序,能够以特定顺序进行一系列事件的模拟,使汇款程序与银行的交互一致,从而使欺诈行为更加难以被欺诈检测系统发现。至报告发出时,Google Play商店中假冒杀毒应用程序SharkBotDropper的下载量已超1000次。
为防止有害的应用程序进入Play商店, 4月6日,Google Play商店对开发政策进行了更新。其中,为了避免用户安装可能不具备最新隐私和安全功能的应用程序,谷歌拓展了其目标级别API要求。自2022年11月1日起,对于商店内未更新的现有程序,若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别,则无法提供给设备运行较新版安卓操作系统的新用户。
早前,谷歌为引入更具有私密性的广告解决方案,于2月16日宣布了一项在安卓上构建隐私沙盒的计划 ,对与第三方共享用户数据的行为加以限制。同时,谷歌还在探索相关技术以限制秘密收集数据的情况,其中包含能让应用程序与广告SDK整合更安全的方式 。谷歌表示这个计划将持续多年。