【換手機也能找到你!】百度 APP 洩漏 14 億安卓手機敏感數據,遭 Google Play 強制下架

圖片來源:截圖自百度官網

研究人員發現,由中國科技巨頭百度開發的兩個應用程式,百度搜尋、百度地圖,有洩漏用戶數據的疑慮,使高達 14 億的用戶處在被網路監視、犯罪的風險之下。

百度程式被踢出 Google Play 商店,換成「國際版」重新上線

資安廠商 Palo Alto Networks 下的資安研究團隊 Unit 42 研究人員,在安卓手機的商店 Google Play 上發現,有多個洩漏數據的應用程式,包含百度搜索、百度地圖。

研究單位以違反了 Google 的應用程序政策為由通知 Google ,而 Google 也在 10/28 從全球的 Play 商城下架該 App。

目前百度國際相容版 App 已經在更新後重新上線,百度地圖則還在下架狀態。

資安人員發現「Push」開發套件向中國服務器發送手機 IMSI 號碼

Forbes》報導,研究人員在調查中發現,應用程式中有一個開發套件(SDK),名為「Push」,疑似向位於中國的伺服器傳送用戶的敏感數據,包含手機的 IMSI 號碼跟 MAC 地址。

IMSI 全名是 International Mobile Subscriber Identification Number,中文則是國際移動使用者識別碼,有了這組數字,就可以識別出特定用戶 SIM 卡的資訊。

MAC 則是 Media Access Control Address,則是由網通產品製造公司,在經過國際組織認證後,登錄在生產的網路卡上的代碼。理論上來說,世界上每一張網路卡都是獨一無二的 MAC 位置。我們在上網時,IP 有可能改變,但 MAC 是不會改變的。

研究人員說明:「收集數據的 Android 程式,能夠跟蹤用戶,例如,用戶將他的 SIM 卡換到新手機,並安裝了前一隻手機中有收集過數據的應用程式,那開發人員就能成功的標示出該用戶。」

百度解釋:我們非常重視用戶隱私安全

在研究人員告知 Google 這項發現後,Google 已經在 10 月 28 日下架這些應用程式,但是「百度 App」又在 11 月 19 日重回 Play 商店。

百度對 Google 提出異議,發言人表示:「我們正在努力按照 Google 的更新只能更新百度地圖,期望在 12 月初回到 Play Store。」

另外,他們也強調,百度是「非常重視用戶隱私安全」的公司,僅會在用戶授權下使用。

Google 則感謝資安人員的協助,並期待與他們有更多的研究合作。

參考資料

Forbes》、《Palo Alto Networks》、《TechRepublic

你可能有興趣

監控自家人民還不夠?中國黑手伸向全球,蒐集 240 萬筆具重要人士數據企圖帶國際風向
【怎麼看起來頗像自介文?】中國《全球數據安全倡議》,呼籲各國停止後門監控、網路攻擊
【中國金融科技野蠻生長的時代,結束了】馬雲被約談、螞蟻 IPO 受阻,騰訊能從中國反壟斷風暴中抽身嗎?


《TO》國際版 2021 正式上線

台灣躍上世界舞台,不能少了你! 立即至 Facebook 按讚、Twitter 追蹤,第一手國際消息都會在這個 英文同名官方網站 唷!

點關鍵字看更多相關文章: