【換手機也能找到你!】百度 APP 洩漏 14 億安卓手機敏感數據,遭 Google Play 強制下架

圖片來源:截圖自百度官網

研究人員發現,由中國科技巨頭百度開發的兩個應用程式,百度搜尋、百度地圖,有洩漏用戶數據的疑慮,使高達 14 億的用戶處在被網路監視、犯罪的風險之下。

百度程式被踢出 Google Play 商店,換成「國際版」重新上線

資安廠商 Palo Alto Networks 下的資安研究團隊 Unit 42 研究人員,在安卓手機的商店 Google Play 上發現,有多個洩漏數據的應用程式,包含百度搜索、百度地圖。

研究單位以違反了 Google 的應用程序政策為由通知 Google ,而 Google 也在 10/28 從全球的 Play 商城下架該 App。

目前百度國際相容版 App 已經在更新後重新上線,百度地圖則還在下架狀態。

資安人員發現「Push」開發套件向中國服務器發送手機 IMSI 號碼

Forbes》報導,研究人員在調查中發現,應用程式中有一個開發套件(SDK),名為「Push」,疑似向位於中國的伺服器傳送用戶的敏感數據,包含手機的 IMSI 號碼跟 MAC 地址。

IMSI 全名是 International Mobile Subscriber Identification Number,中文則是國際移動使用者識別碼,有了這組數字,就可以識別出特定用戶 SIM 卡的資訊。

MAC 則是 Media Access Control Address,則是由網通產品製造公司,在經過國際組織認證後,登錄在生產的網路卡上的代碼。理論上來說,世界上每一張網路卡都是獨一無二的 MAC 位置。我們在上網時,IP 有可能改變,但 MAC 是不會改變的。

研究人員說明:「收集數據的 Android 程式,能夠跟蹤用戶,例如,用戶將他的 SIM 卡換到新手機,並安裝了前一隻手機中有收集過數據的應用程式,那開發人員就能成功的標示出該用戶。」

百度解釋:我們非常重視用戶隱私安全

在研究人員告知 Google 這項發現後,Google 已經在 10 月 28 日下架這些應用程式,但是「百度 App」又在 11 月 19 日重回 Play 商店。

百度對 Google 提出異議,發言人表示:「我們正在努力按照 Google 的更新只能更新百度地圖,期望在 12 月初回到 Play Store。」

另外,他們也強調,百度是「非常重視用戶隱私安全」的公司,僅會在用戶授權下使用。

Google 則感謝資安人員的協助,並期待與他們有更多的研究合作。

參考資料

Forbes》、《Palo Alto Networks》、《TechRepublic

你可能有興趣

監控自家人民還不夠?中國黑手伸向全球,蒐集 240 萬筆具重要人士數據企圖帶國際風向
【怎麼看起來頗像自介文?】中國《全球數據安全倡議》,呼籲各國停止後門監控、網路攻擊
【中國金融科技野蠻生長的時代,結束了】馬雲被約談、螞蟻 IPO 受阻,騰訊能從中國反壟斷風暴中抽身嗎?


點關鍵字看更多相關文章: