作 者丨郭美婷,實習生古宇星
圖 源丨圖蟲
近日,谷歌從Google Play商店下架了天氣、高速公路雷達、二維碼掃瞄器等數十款應用程式,原因是這些應用程式內建一個秘密獲取資料的軟體程式碼,其中多個應用程式的下載量已超千萬次。
發現程式碼的研究人員表示,
程式碼是由一家巴拿馬公司Measurement Systems編寫並付費植入應用程式中的
,包含剪貼簿內容、電話號碼、電子郵件地址在內的資料能借此被秘密收集。
此前,為防止有害的應用程式進入應用商店, Google Play商店於4月6日對開發政策進行了更新,要求自2022年11月1日起,對於商店內未更新的現有程式,若其目標API級別未能達到最新的主要安卓版本釋出後兩年內推出的 API 級別,則無法提供給裝置執行較新版安卓作業系統的新使用者。
數十款應用程式被下架
據4月7日訊息,國際計算機科學研究所和加州大學伯克利分校的研究員Serge Egelman和卡爾加里大學研究員Joel Reardon在進行安卓應用程式漏洞搜尋的審計工作中,發現巴拿馬公司Measurement Systems S。 de R。L。編寫並植入的軟體開發工具包(SDK)程式碼,能夠秘密地獲取使用者資料。
該SDK程式碼最開始被發現於多個下載次數超1000萬的應用程式中
。
研究人員表示,隱藏在應用程式中的SDK程式碼可以獲取包含剪貼簿內容、電話號碼、電子郵件地址在內的資料。除基於路由器的較粗略位置資料外,該程式碼還能收集精確的 GPS資料 ,並建立資料庫,將電子郵件和電話號碼與GPS歷史位置相對應。也就是說,透過這些資料,能在僅知道個人電話號碼或郵件的情況下,查詢其歷史位置資訊。
報道稱,從公司記錄及網際網路域名註冊資訊可知,Measurement Systems與一家弗吉尼亞州的國防承包商有關聯,後者參與了為美國國家安全機構提供網路情報、網路防禦和情報攔截的工作。
Measurement Systems 透過支付給世界各地開發人員費用,將程式碼置入應用程式,涉及的裝置已超過6000萬臺
。
目前,谷歌已將內建上述SDK程式碼的數十個應用程式從Google Play商店中下架,其中包括高速公路超速檢測應用程式(Speed Camera Radar)、QR和條形碼掃描器(QR & Barcode Scanner)及簡約天氣和時鐘小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon發現,儘管自相關資訊被曝光後,該SDK已停止執行,沒有繼續收集資料,但這些程式碼仍保有從已安裝相關應用程式的手機中收集資料的能力。
谷歌發言人表示,因涉及使用者資料收集而被下架的應用程式,若已刪除了違規程式碼,可重新申請在Google Play商店中上架。目前,包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在內的一些應用程式已迴歸Google Play商店 。
應用程式安全問題頻發
這並非Google Play商店第一次出現應用程式的安全問題。
2022年3月3日,老牌程式碼安全審計機構NCC Group釋出了一份報告,對一個遠端訪問銀行的木馬SharkBot的工作原理及其如何繞過Google Play商店的安全措施進行了分析。
SharkBot於2021年10月末被威脅情報團隊Cleafy發現,它透過自動轉賬系統(ATS)技術在被植入的裝置中發起資金轉賬。
該木馬一旦檢測到執行的銀行應用程式,能夠以特定順序進行一系列事件的模擬,使匯款程式與銀行的互動一致,從而使欺詐行為更加難以被欺詐檢測系統發現。
至報告發出時,Google Play商店中假冒防毒應用程式SharkBotDropper的下載量已超1000次。
為防止有害的應用程式進入Play商店, 4月6日,Google Play商店對開發政策進行了更新。其中,為了避免使用者安裝可能不具備最新隱私和安全功能的應用程式,谷歌拓展了其目標級別API要求。自2022年11月1日起,對於商店內未更新的現有程式,若其目標API級別未能達到最新的主要安卓版本釋出後兩年內推出的 API 級別,則無法提供給裝置執行較新版安卓作業系統的新使用者。
早前,谷歌為引入更具有私密性的廣告解決方案,於2月16日宣佈了一項在安卓上構建隱私沙盒的計劃 ,對與第三方共享使用者資料的行為加以限制。同時,谷歌還在探索相關技術以限制秘密收集資料的情況,其中包含能讓應用程式與廣告SDK整合更安全的方式 。谷歌表示這個計劃將持續多年。
本期編輯 馮展鵬 實習生 黃菁珊
