近日，谷歌從Google Play商店下架了天氣、高速公路雷達、二維碼掃瞄器等數(shù)十款應(yīng)用程序，原因是這些應(yīng)用程序內(nèi)置一個秘密獲取數(shù)據(jù)的軟件代碼，其中多個應(yīng)用程序的下載量已超千萬次。

發(fā)現(xiàn)代碼的研究人員表示，代碼是由一家巴拿馬公司Measurement Systems編寫并付費植入應(yīng)用程序中的，包含剪貼板內(nèi)容、電話號碼、電子郵件地址在內(nèi)的數(shù)據(jù)能借此被秘密收集。

此前，為防止有害的應(yīng)用程序進入應(yīng)用商店， Google Play商店于4月6日對開發(fā)政策進行了更新，要求自2022年11月1日起，對于商店內(nèi)未更新的現(xiàn)有程序，若其目標(biāo)API級別未能達到最新的主要安卓版本發(fā)布后兩年內(nèi)推出的 API 級別，則無法提供給設(shè)備運行較新版安卓操作系統(tǒng)的新用戶。

數(shù)十款應(yīng)用程序被下架

據(jù)4月7日消息，國際計算機科學(xué)研究所和加州大學(xué)伯克利分校的研究員Serge Egelman和卡爾加里大學(xué)研究員Joel Reardon在進行安卓應(yīng)用程序漏洞搜索的審計工作中，發(fā)現(xiàn)巴拿馬公司Measurement Systems S. de R.L.編寫并植入的軟件開發(fā)工具包(SDK)代碼，能夠秘密地獲取用戶數(shù)據(jù)。該SDK代碼最開始被發(fā)現(xiàn)于多個下載次數(shù)超1000萬的應(yīng)用程序中。

研究人員表示，隱藏在應(yīng)用程序中的SDK代碼可以獲取包含剪貼板內(nèi)容、電話號碼、電子郵件地址在內(nèi)的數(shù)據(jù)。除基于路由器的較粗略位置數(shù)據(jù)外，該代碼還能收集精確的 GPS數(shù)據(jù) ，并建立數(shù)據(jù)庫，將電子郵件和電話號碼與GPS歷史位置相對應(yīng)。也就是說，通過這些數(shù)據(jù)，能在僅知道個人電話號碼或郵件的情況下，查詢其歷史位置信息。

報道稱，從公司記錄及互聯(lián)網(wǎng)域名注冊信息可知，Measurement Systems與一家弗吉尼亞州的國防承包商有關(guān)聯(lián)，后者參與了為美國國家安全機構(gòu)提供網(wǎng)絡(luò)情報、網(wǎng)絡(luò)防御和情報攔截的工作。Measurement Systems 通過支付給世界各地開發(fā)人員費用，將代碼置入應(yīng)用程序，涉及的設(shè)備已超過6000萬臺。

目前，谷歌已將內(nèi)置上述SDK代碼的數(shù)十個應(yīng)用程序從Google Play商店中下架，其中包括高速公路超速檢測應(yīng)用程序(Speed Camera Radar)、QR和條形碼掃描儀(QR & Barcode Scanner)及簡約天氣和時鐘小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon發(fā)現(xiàn)，盡管自相關(guān)信息被曝光后，該SDK已停止運行，沒有繼續(xù)收集數(shù)據(jù)，但這些代碼仍保有從已安裝相關(guān)應(yīng)用程序的手機中收集數(shù)據(jù)的能力。

谷歌發(fā)言人表示，因涉及用戶數(shù)據(jù)收集而被下架的應(yīng)用程序，若已刪除了違規(guī)代碼，可重新申請在Google Play商店中上架。目前，包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在內(nèi)的一些應(yīng)用程序已回歸Google Play商店 。

應(yīng)用程序安全問題頻發(fā)

這并非Google Play商店第一次出現(xiàn)應(yīng)用程序的安全問題。

2022年3月3日，老牌代碼安全審計機構(gòu)NCC Group發(fā)布了一份報告，對一個遠程訪問銀行的木馬SharkBot的工作原理及其如何繞過Google Play商店的安全措施進行了分析。

SharkBot于2021年10月末被威脅情報團隊Cleafy發(fā)現(xiàn)，它通過自動轉(zhuǎn)賬系統(tǒng)(ATS)技術(shù)在被植入的設(shè)備中發(fā)起資金轉(zhuǎn)賬。該木馬一旦檢測到運行的銀行應(yīng)用程序，能夠以特定順序進行一系列事件的模擬，使匯款程序與銀行的交互一致，從而使欺詐行為更加難以被欺詐檢測系統(tǒng)發(fā)現(xiàn)。至報告發(fā)出時，Google Play商店中假冒殺毒應(yīng)用程序SharkBotDropper的下載量已超1000次。

為防止有害的應(yīng)用程序進入Play商店， 4月6日，Google Play商店對開發(fā)政策進行了更新。其中，為了避免用戶安裝可能不具備最新隱私和安全功能的應(yīng)用程序，谷歌拓展了其目標(biāo)級別API要求。自2022年11月1日起，對于商店內(nèi)未更新的現(xiàn)有程序，若其目標(biāo)API級別未能達到最新的主要安卓版本發(fā)布后兩年內(nèi)推出的 API 級別，則無法提供給設(shè)備運行較新版安卓操作系統(tǒng)的新用戶。

早前，谷歌為引入更具有私密性的廣告解決方案，于2月16日宣布了一項在安卓上構(gòu)建隱私沙盒的計劃 ，對與第三方共享用戶數(shù)據(jù)的行為加以限制。同時，谷歌還在探索相關(guān)技術(shù)以限制秘密收集數(shù)據(jù)的情況，其中包含能讓應(yīng)用程序與廣告SDK整合更安全的方式 。谷歌表示這個計劃將持續(xù)多年。