近日，谷歌從Google Play商店下架了天氣、高速公路雷達(dá)、二維碼掃瞄器等數(shù)十款應(yīng)用程序，原因是這些應(yīng)用程序內(nèi)置一個(gè)秘密獲取數(shù)據(jù)的軟件代碼，其中多個(gè)應(yīng)用程序的下載量已超千萬(wàn)次。

發(fā)現(xiàn)代碼的研究人員表示，代碼是由一家巴拿馬公司Measurement Systems編寫(xiě)并付費(fèi)植入應(yīng)用程序中的，包含剪貼板內(nèi)容、電話(huà)號(hào)碼、電子郵件地址在內(nèi)的數(shù)據(jù)能借此被秘密收集。

此前，為防止有害的應(yīng)用程序進(jìn)入應(yīng)用商店， Google Play商店于4月6日對(duì)開(kāi)發(fā)政策進(jìn)行了更新，要求自2022年11月1日起，對(duì)于商店內(nèi)未更新的現(xiàn)有程序，若其目標(biāo)API級(jí)別未能達(dá)到最新的主要安卓版本發(fā)布后兩年內(nèi)推出的 API 級(jí)別，則無(wú)法提供給設(shè)備運(yùn)行較新版安卓操作系統(tǒng)的新用戶(hù)。

數(shù)十款應(yīng)用程序被下架

據(jù)4月7日消息，國(guó)際計(jì)算機(jī)科學(xué)研究所和加州大學(xué)伯克利分校的研究員Serge Egelman和卡爾加里大學(xué)研究員Joel Reardon在進(jìn)行安卓應(yīng)用程序漏洞搜索的審計(jì)工作中，發(fā)現(xiàn)巴拿馬公司Measurement Systems S. de R.L.編寫(xiě)并植入的軟件開(kāi)發(fā)工具包(SDK)代碼，能夠秘密地獲取用戶(hù)數(shù)據(jù)。該SDK代碼最開(kāi)始被發(fā)現(xiàn)于多個(gè)下載次數(shù)超1000萬(wàn)的應(yīng)用程序中。

研究人員表示，隱藏在應(yīng)用程序中的SDK代碼可以獲取包含剪貼板內(nèi)容、電話(huà)號(hào)碼、電子郵件地址在內(nèi)的數(shù)據(jù)。除基于路由器的較粗略位置數(shù)據(jù)外，該代碼還能收集精確的 GPS數(shù)據(jù) ，并建立數(shù)據(jù)庫(kù)，將電子郵件和電話(huà)號(hào)碼與GPS歷史位置相對(duì)應(yīng)。也就是說(shuō)，通過(guò)這些數(shù)據(jù)，能在僅知道個(gè)人電話(huà)號(hào)碼或郵件的情況下，查詢(xún)其歷史位置信息。

報(bào)道稱(chēng)，從公司記錄及互聯(lián)網(wǎng)域名注冊(cè)信息可知，Measurement Systems與一家弗吉尼亞州的國(guó)防承包商有關(guān)聯(lián)，后者參與了為美國(guó)國(guó)家安全機(jī)構(gòu)提供網(wǎng)絡(luò)情報(bào)、網(wǎng)絡(luò)防御和情報(bào)攔截的工作。Measurement Systems 通過(guò)支付給世界各地開(kāi)發(fā)人員費(fèi)用，將代碼置入應(yīng)用程序，涉及的設(shè)備已超過(guò)6000萬(wàn)臺(tái)。

目前，谷歌已將內(nèi)置上述SDK代碼的數(shù)十個(gè)應(yīng)用程序從Google Play商店中下架，其中包括高速公路超速檢測(cè)應(yīng)用程序（Speed Camera Radar）、QR和條形碼掃描儀（QR & Barcode Scanner）及簡(jiǎn)約天氣和時(shí)鐘小部件（Simple weather & clock widget）等。但Serge Egelman 和Joel Reardon發(fā)現(xiàn)，盡管自相關(guān)信息被曝光后，該SDK已停止運(yùn)行，沒(méi)有繼續(xù)收集數(shù)據(jù)，但這些代碼仍保有從已安裝相關(guān)應(yīng)用程序的手機(jī)中收集數(shù)據(jù)的能力。

谷歌發(fā)言人表示，因涉及用戶(hù)數(shù)據(jù)收集而被下架的應(yīng)用程序，若已刪除了違規(guī)代碼，可重新申請(qǐng)?jiān)贕oogle Play商店中上架。目前，包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在內(nèi)的一些應(yīng)用程序已回歸Google Play商店 。

應(yīng)用程序安全問(wèn)題頻發(fā)

這并非Google Play商店第一次出現(xiàn)應(yīng)用程序的安全問(wèn)題。

2022年3月3日，老牌代碼安全審計(jì)機(jī)構(gòu)NCC Group發(fā)布了一份報(bào)告，對(duì)一個(gè)遠(yuǎn)程訪問(wèn)銀行的木馬SharkBot的工作原理及其如何繞過(guò)Google Play商店的安全措施進(jìn)行了分析。

SharkBot于2021年10月末被威脅情報(bào)團(tuán)隊(duì)Cleafy發(fā)現(xiàn)，它通過(guò)自動(dòng)轉(zhuǎn)賬系統(tǒng)（ATS）技術(shù)在被植入的設(shè)備中發(fā)起資金轉(zhuǎn)賬。該木馬一旦檢測(cè)到運(yùn)行的銀行應(yīng)用程序，能夠以特定順序進(jìn)行一系列事件的模擬，使匯款程序與銀行的交互一致，從而使欺詐行為更加難以被欺詐檢測(cè)系統(tǒng)發(fā)現(xiàn)。至報(bào)告發(fā)出時(shí)，Google Play商店中假冒殺毒應(yīng)用程序SharkBotDropper的下載量已超1000次。

為防止有害的應(yīng)用程序進(jìn)入Play商店， 4月6日，Google Play商店對(duì)開(kāi)發(fā)政策進(jìn)行了更新。其中，為了避免用戶(hù)安裝可能不具備最新隱私和安全功能的應(yīng)用程序，谷歌拓展了其目標(biāo)級(jí)別API要求。自2022年11月1日起，對(duì)于商店內(nèi)未更新的現(xiàn)有程序，若其目標(biāo)API級(jí)別未能達(dá)到最新的主要安卓版本發(fā)布后兩年內(nèi)推出的 API 級(jí)別，則無(wú)法提供給設(shè)備運(yùn)行較新版安卓操作系統(tǒng)的新用戶(hù)。

早前，谷歌為引入更具有私密性的廣告解決方案，于2月16日宣布了一項(xiàng)在安卓上構(gòu)建隱私沙盒的計(jì)劃 ，對(duì)與第三方共享用戶(hù)數(shù)據(jù)的行為加以限制。同時(shí)，谷歌還在探索相關(guān)技術(shù)以限制秘密收集數(shù)據(jù)的情況，其中包含能讓?xiě)?yīng)用程序與廣告SDK整合更安全的方式 。谷歌表示這個(gè)計(jì)劃將持續(xù)多年。