百度地圖涉嫌泄露用戶敏感數(shù)據(jù)
2020年11月26日
近日,根據(jù)某研究小組的最新報(bào)告����,在Android官方應(yīng)用商店Google Play(通常業(yè)界認(rèn)為這是最安全的Android應(yīng)用商店)中,兩款下載量合計(jì)超過(guò)600萬(wàn)的百度應(yīng)用——百度搜索框和百度地圖��,存在泄露用戶敏感數(shù)據(jù)的安全問題�����。
UNIT42的報(bào)告指出��,移動(dòng)應(yīng)用程序的數(shù)據(jù)泄漏是業(yè)界已知的問題���,數(shù)據(jù)泄露不但侵犯了用戶的隱私,而且可被網(wǎng)絡(luò)罪犯用于進(jìn)一步的攻擊����,例如收集電話位置或獲取被叫號(hào)碼。通過(guò)濫用泄漏數(shù)據(jù)�,攻擊者可以在用戶不知情的情況下從用戶設(shè)備傳輸或接收信息。
在基于機(jī)器學(xué)習(xí)(ML)的間諜軟件檢測(cè)系統(tǒng)的幫助下����,UNIT42的研究人員在Google Play上發(fā)現(xiàn)了多個(gè)泄漏數(shù)據(jù)的Android應(yīng)用程序�����,其中影響力最大的兩個(gè)程序是百度搜索框和百度地圖���,這兩個(gè)應(yīng)用程序在Google Play中總共下載了600萬(wàn)次。這些安卓程序泄露的數(shù)據(jù)使攻擊者可以標(biāo)識(shí)和追蹤用戶�����,即使用戶更換手機(jī)也無(wú)法逃避����。
研究人員發(fā)現(xiàn)有問題的應(yīng)用程序采集了一系列用戶(設(shè)備)信息,包括:
手機(jī)型號(hào)
屏幕分辨率
電話MAC地址
無(wú)線運(yùn)營(yíng)商
網(wǎng)絡(luò)(Wi-Fi���、2G���、3G、4G���、5G)
Android ID
國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)
和國(guó)際移動(dòng)設(shè)備識(shí)別碼(IMEI)
IMEI是物理設(shè)備(手機(jī)硬件)的唯一標(biāo)識(shí)符��,包含諸如制造日期和硬件規(guī)格之類的信息���。IMSI是唯一的蜂窩網(wǎng)絡(luò)用戶標(biāo)識(shí)�,通常與手機(jī)SIM卡關(guān)聯(lián)���,這兩個(gè)標(biāo)識(shí)符都可用于跟蹤和定位蜂窩網(wǎng)絡(luò)中的用戶���。研究人員警告說(shuō),收集此類數(shù)據(jù)的Android應(yīng)用程序可以在多個(gè)設(shè)備的生命周期內(nèi)跟蹤用戶���。
百度地圖 v10.24.8的Android程序中,采集手機(jī)型號(hào)���、MAC地址�、IMSI編碼的代碼 來(lái)源:UNIT42
報(bào)告指出:“如果用戶將其SIM卡切換到新手機(jī)并安裝了先前收集并發(fā)送了IMSI號(hào)碼的應(yīng)用程序���,則該應(yīng)用程序開發(fā)人員依然能夠唯一地標(biāo)識(shí)該用戶����?���!?/span>
網(wǎng)絡(luò)罪犯可以使用各種偵聽工具(例如��,主動(dòng)和被動(dòng)IMSI捕獲器)來(lái)“竊聽”來(lái)自手機(jī)用戶的信息��。一旦獲取了這些數(shù)據(jù)�����,網(wǎng)絡(luò)犯罪分子就可以對(duì)用戶進(jìn)行概要分析����,并進(jìn)一步提取有關(guān)他們的敏感信息�����。例如�����,如果網(wǎng)絡(luò)罪犯掌握了電話的IMEI號(hào)碼����,則他們可以使用它來(lái)報(bào)告電話被盜,并觸發(fā)提供商禁用該設(shè)備并阻止其訪問網(wǎng)絡(luò)(此操作往往作為社工攻擊的一部分實(shí)施)。
網(wǎng)絡(luò)罪犯或國(guó)家黑客也可能濫用此數(shù)據(jù)�,以侵犯用戶的隱私權(quán),并利用泄漏的信息來(lái)攔截電話或短信�����。如果網(wǎng)絡(luò)罪犯或國(guó)家黑客攔截那些以純文本或弱加密方式傳輸?shù)男畔?��,則可能使用戶面臨更大的風(fēng)險(xiǎn)��。
在深入研究消息的內(nèi)容并分析了多個(gè)Android應(yīng)用程序之后��,UNIT42的研究人員確定了百度的Android push SDK是消息的來(lái)源����。該SDK已被某些最大的百度應(yīng)用程序廣泛使用����,例如百度地圖或百度搜索框���。
報(bào)告指出還有一個(gè)可以從用戶手機(jī)收集敏感信息的Android SDK是中國(guó)供應(yīng)商MobTech提供的ShareSDK����。ShareSDK支持40多個(gè)社交媒體平臺(tái)。它可以幫助第三方應(yīng)用程序開發(fā)人員輕松訪問社交媒體共享和注冊(cè)����。它還允許他們獲取用戶的信息,朋友列表和其他社交功能�。目前,ShareSDK為37,500多個(gè)應(yīng)用程序提供服務(wù)���,并已成為中國(guó)最大的開發(fā)人員服務(wù)平臺(tái)�����。
除了百度地圖(10.24.8版本)和搜索框�,UNIT42還發(fā)現(xiàn)美國(guó)Google Play應(yīng)用商店還有存在類似行為的流行應(yīng)用程序�,包括Homestyler–Interior Design&Decorating Ideas應(yīng)用程序,該應(yīng)用程序使用了GrowingIO框架����。如上表所示,該應(yīng)用程序也會(huì)從用戶的設(shè)備收集個(gè)人信息��,但這個(gè)應(yīng)用尚未被Google下架�。
報(bào)告指出,雖然上述百度應(yīng)用并未違反Google的Android應(yīng)用程序政策���,但根據(jù)Android最佳做法指南���,Google建議開發(fā)者不要收集諸如IMSI或MAC地址之類的標(biāo)識(shí)符����。
據(jù)報(bào)道�,UNIT42將此發(fā)現(xiàn)通知了百度以及Google的Android團(tuán)隊(duì),后者確認(rèn)了調(diào)查結(jié)果����,發(fā)現(xiàn)了未指明的違規(guī)行為,并于2020年10月28日從全球Google Play中刪除了這些應(yīng)用程序�。兼容版本的百度搜索框已于2020年11月19日在Google Play重新上架,但百度地圖在全球范圍內(nèi)仍不可用��。
Google的Android團(tuán)隊(duì)表示:“我們感謝研究界以及Palo Alto Networks等公司的工作�,這些公司致力于加強(qiáng)Play商店的安全性。我們期待著將來(lái)與他們合作進(jìn)行更多研究����?����!?/span>
Android團(tuán)隊(duì)進(jìn)一步指出:Android官方應(yīng)用程序商店(例如Google Play)的某些應(yīng)用程序有時(shí)會(huì)出現(xiàn)類似Android惡意軟件的行為,有些流行應(yīng)用每月有數(shù)百萬(wàn)的活躍用戶�����。為防止數(shù)據(jù)泄漏����,Android應(yīng)用程序開發(fā)人員應(yīng)遵循Android的最佳做法指南并正確處理用戶的數(shù)據(jù)。Android用戶應(yīng)及時(shí)了解其設(shè)備上的應(yīng)用程序要求的所需權(quán)限���。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
