近日，根據(jù)派拓網(wǎng)絡(luò)（Palo Alto Networks）旗下的UNIT42研究小組的最新報告，在Android官方應(yīng)用商店Google Play（通常業(yè)界認(rèn)為這是最安全的Android應(yīng)用商店）中，兩款下載量合計超過600萬的百度應(yīng)用——百度搜索框和百度地圖，存在泄露用戶敏感數(shù)據(jù)的安全問題。

　　UNIT42的報告指出，移動應(yīng)用程序的數(shù)據(jù)泄漏是業(yè)界已知的問題，數(shù)據(jù)泄露不但侵犯了用戶的隱私，而且可被網(wǎng)絡(luò)罪犯用于進一步的攻擊，例如收集電話位置或獲取被叫號碼。通過濫用泄漏數(shù)據(jù)，攻擊者可以在用戶不知情的情況下從用戶設(shè)備傳輸或接收信息。

　　在基于機器學(xué)習(xí)（ML）的間諜軟件檢測系統(tǒng)的幫助下，UNIT42的研究人員在Google Play上發(fā)現(xiàn)了多個泄漏數(shù)據(jù)的Android應(yīng)用程序，其中影響力最大的兩個程序是百度搜索框和百度地圖，這兩個應(yīng)用程序在Google Play中總共下載了600萬次。這些安卓程序泄露的數(shù)據(jù)使攻擊者可以標(biāo)識和追蹤用戶，即使用戶更換手機也無法逃避。

　　研究人員發(fā)現(xiàn)有問題的應(yīng)用程序采集了一系列用戶（設(shè)備）信息，包括：

　　手機型號

　　屏幕分辨率

　　電話MAC地址

　　無線運營商

　　網(wǎng)絡(luò)（Wi-Fi、2G、3G、4G、5G）

　　Android ID

　　國際移動用戶識別碼（IMSI）

　　和國際移動設(shè)備識別碼（IMEI）

　　IMEI是物理設(shè)備（手機硬件）的唯一標(biāo)識符，包含諸如制造日期和硬件規(guī)格之類的信息。IMSI是唯一的蜂窩網(wǎng)絡(luò)用戶標(biāo)識，通常與手機SIM卡關(guān)聯(lián)，這兩個標(biāo)識符都可用于跟蹤和定位蜂窩網(wǎng)絡(luò)中的用戶。研究人員警告說，收集此類數(shù)據(jù)的Android應(yīng)用程序可以在多個設(shè)備的生命周期內(nèi)跟蹤用戶。

　　百度地圖 v10.24.8的Android程序中，采集手機型號、MAC地址、IMSI編碼的代碼 來源：UNIT42

　　報告指出：“如果用戶將其SIM卡切換到新手機并安裝了先前收集并發(fā)送了IMSI號碼的應(yīng)用程序，則該應(yīng)用程序開發(fā)人員依然能夠唯一地標(biāo)識該用戶?！?/p>

　　網(wǎng)絡(luò)罪犯可以使用各種偵聽工具（例如，主動和被動IMSI捕獲器）來“竊聽”來自手機用戶的信息。一旦獲取了這些數(shù)據(jù)，網(wǎng)絡(luò)犯罪分子就可以對用戶進行概要分析，并進一步提取有關(guān)他們的敏感信息。例如，如果網(wǎng)絡(luò)罪犯掌握了電話的IMEI號碼，則他們可以使用它來報告電話被盜，并觸發(fā)提供商禁用該設(shè)備并阻止其訪問網(wǎng)絡(luò)（此操作往往作為社工攻擊的一部分實施）。

　　網(wǎng)絡(luò)罪犯或國家黑客也可能濫用此數(shù)據(jù)，以侵犯用戶的隱私權(quán)，并利用泄漏的信息來攔截電話或短信。如果網(wǎng)絡(luò)罪犯或國家黑客攔截那些以純文本或弱加密方式傳輸?shù)男畔ⅲ瑒t可能使用戶面臨更大的風(fēng)險。

　　在深入研究消息的內(nèi)容并分析了多個Android應(yīng)用程序之后，UNIT42的研究人員確定了百度的Android push SDK是消息的來源。該SDK已被某些最大的百度應(yīng)用程序廣泛使用，例如百度地圖或百度搜索框。

　　報告指出還有一個可以從用戶手機收集敏感信息的Android SDK是中國供應(yīng)商MobTech提供的ShareSDK。ShareSDK支持40多個社交媒體平臺。它可以幫助第三方應(yīng)用程序開發(fā)人員輕松訪問社交媒體共享和注冊。它還允許他們獲取用戶的信息，朋友列表和其他社交功能。目前，ShareSDK為37,500多個應(yīng)用程序提供服務(wù)，并已成為中國最大的開發(fā)人員服務(wù)平臺。

　　除了百度地圖（10.24.8版本）和搜索框，UNIT42還發(fā)現(xiàn)美國Google Play應(yīng)用商店還有存在類似行為的流行應(yīng)用程序，包括Homestyler–Interior Design＆Decorating Ideas應(yīng)用程序，該應(yīng)用程序使用了GrowingIO框架。如上表所示，該應(yīng)用程序也會從用戶的設(shè)備收集個人信息，但這個應(yīng)用尚未被Google下架。

　　報告指出，雖然上述百度應(yīng)用并未違反Google的Android應(yīng)用程序政策，但根據(jù)Android最佳做法指南，Google建議開發(fā)者不要收集諸如IMSI或MAC地址之類的標(biāo)識符。

　　據(jù)報道，UNIT42將此發(fā)現(xiàn)通知了百度以及Google的Android團隊，后者確認(rèn)了調(diào)查結(jié)果，發(fā)現(xiàn)了未指明的違規(guī)行為，并于2020年10月28日從全球Google Play中刪除了這些應(yīng)用程序。兼容版本的百度搜索框已于2020年11月19日在Google Play重新上架，但百度地圖在全球范圍內(nèi)仍不可用。

　　Google的Android團隊表示：“我們感謝研究界以及Palo Alto Networks等公司的工作，這些公司致力于加強Play商店的安全性。我們期待著將來與他們合作進行更多研究。”

　　Android團隊進一步指出：Android官方應(yīng)用程序商店（例如Google Play）的某些應(yīng)用程序有時會出現(xiàn)類似Android惡意軟件的行為，有些流行應(yīng)用每月有數(shù)百萬的活躍用戶。為防止數(shù)據(jù)泄漏，Android應(yīng)用程序開發(fā)人員應(yīng)遵循Android的最佳做法指南并正確處理用戶的數(shù)據(jù)。Android用戶應(yīng)及時了解其設(shè)備上的應(yīng)用程序要求的所需權(quán)限。