百度地圖涉嫌泄露用戶敏感數(shù)據(jù)
2020年11月26日
近日��,根據(jù)某研究小組的最新報告�����,在Android官方應用商店Google Play(通常業(yè)界認為這是最安全的Android應用商店)中����,兩款下載量合計超過600萬的百度應用——百度搜索框和百度地圖,存在泄露用戶敏感數(shù)據(jù)的安全問題��。
UNIT42的報告指出���,移動應用程序的數(shù)據(jù)泄漏是業(yè)界已知的問題�����,數(shù)據(jù)泄露不但侵犯了用戶的隱私����,而且可被網(wǎng)絡罪犯用于進一步的攻擊���,例如收集電話位置或獲取被叫號碼�����。通過濫用泄漏數(shù)據(jù)����,攻擊者可以在用戶不知情的情況下從用戶設備傳輸或接收信息��。
在基于機器學習(ML)的間諜軟件檢測系統(tǒng)的幫助下���,UNIT42的研究人員在Google Play上發(fā)現(xiàn)了多個泄漏數(shù)據(jù)的Android應用程序��,其中影響力最大的兩個程序是百度搜索框和百度地圖�����,這兩個應用程序在Google Play中總共下載了600萬次�����。這些安卓程序泄露的數(shù)據(jù)使攻擊者可以標識和追蹤用戶���,即使用戶更換手機也無法逃避��。
研究人員發(fā)現(xiàn)有問題的應用程序采集了一系列用戶(設備)信息���,包括:
IMEI是物理設備(手機硬件)的唯一標識符���,包含諸如制造日期和硬件規(guī)格之類的信息。IMSI是唯一的蜂窩網(wǎng)絡用戶標識����,通常與手機SIM卡關聯(lián),這兩個標識符都可用于跟蹤和定位蜂窩網(wǎng)絡中的用戶�����。研究人員警告說��,收集此類數(shù)據(jù)的Android應用程序可以在多個設備的生命周期內(nèi)跟蹤用戶�。
百度地圖 v10.24.8的Android程序中,采集手機型號�、MAC地址、IMSI編碼的代碼 來源:UNIT42
報告指出:“如果用戶將其SIM卡切換到新手機并安裝了先前收集并發(fā)送了IMSI號碼的應用程序�,則該應用程序開發(fā)人員依然能夠唯一地標識該用戶?!?/span>
網(wǎng)絡罪犯可以使用各種偵聽工具(例如,主動和被動IMSI捕獲器)來“竊聽”來自手機用戶的信息�����。一旦獲取了這些數(shù)據(jù),網(wǎng)絡犯罪分子就可以對用戶進行概要分析����,并進一步提取有關他們的敏感信息。例如����,如果網(wǎng)絡罪犯掌握了電話的IMEI號碼,則他們可以使用它來報告電話被盜��,并觸發(fā)提供商禁用該設備并阻止其訪問網(wǎng)絡(此操作往往作為社工攻擊的一部分實施)�。
網(wǎng)絡罪犯或國家黑客也可能濫用此數(shù)據(jù),以侵犯用戶的隱私權�,并利用泄漏的信息來攔截電話或短信。如果網(wǎng)絡罪犯或國家黑客攔截那些以純文本或弱加密方式傳輸?shù)男畔?�,則可能使用戶面臨更大的風險��。
在深入研究消息的內(nèi)容并分析了多個Android應用程序之后����,UNIT42的研究人員確定了百度的Android push SDK是消息的來源。該SDK已被某些最大的百度應用程序廣泛使用�����,例如百度地圖或百度搜索框。
報告指出還有一個可以從用戶手機收集敏感信息的Android SDK是中國供應商MobTech提供的ShareSDK����。ShareSDK支持40多個社交媒體平臺�����。它可以幫助第三方應用程序開發(fā)人員輕松訪問社交媒體共享和注冊��。它還允許他們獲取用戶的信息�����,朋友列表和其他社交功能��。目前�,ShareSDK為37,500多個應用程序提供服務,并已成為中國最大的開發(fā)人員服務平臺��。
除了百度地圖(10.24.8版本)和搜索框����,UNIT42還發(fā)現(xiàn)美國Google Play應用商店還有存在類似行為的流行應用程序,包括Homestyler–Interior Design&Decorating Ideas應用程序����,該應用程序使用了GrowingIO框架�����。如上表所示�����,該應用程序也會從用戶的設備收集個人信息���,但這個應用尚未被Google下架。
報告指出�����,雖然上述百度應用并未違反Google的Android應用程序政策�����,但根據(jù)Android最佳做法指南���,Google建議開發(fā)者不要收集諸如IMSI或MAC地址之類的標識符�����。
據(jù)報道��,UNIT42將此發(fā)現(xiàn)通知了百度以及Google的Android團隊��,后者確認了調(diào)查結(jié)果����,發(fā)現(xiàn)了未指明的違規(guī)行為���,并于2020年10月28日從全球Google Play中刪除了這些應用程序����。兼容版本的百度搜索框已于2020年11月19日在Google Play重新上架��,但百度地圖在全球范圍內(nèi)仍不可用�����。
Google的Android團隊表示:“我們感謝研究界以及Palo Alto Networks等公司的工作�����,這些公司致力于加強Play商店的安全性�����。我們期待著將來與他們合作進行更多研究?��!?/span>
Android團隊進一步指出:Android官方應用程序商店(例如Google Play)的某些應用程序有時會出現(xiàn)類似Android惡意軟件的行為����,有些流行應用每月有數(shù)百萬的活躍用戶�。為防止數(shù)據(jù)泄漏,Android應用程序開發(fā)人員應遵循Android的最佳做法指南并正確處理用戶的數(shù)據(jù)�����。Android用戶應及時了解其設備上的應用程序要求的所需權限���。
江蘇國駿-打造安全可信的網(wǎng)絡世界
為IT提升價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
