安全研究人员发现了11个Android应用程序收集用户手机的敏感信息,包括复制粘贴数据、电话号码和电子邮件地址。
该调查结果来自安全公司AppCensus;它检查了一个软件开发工具包(SDK)在Android应用程序上运行,这两款应用程序在谷歌Play Store上的下载量合计超过4600万次。
AppCensus在周三发布的一份报告中表示:“每当用户复制/粘贴内容时,它就会进入一个共享的剪贴板,这个SDK会搜索并上传到服务器上。报告(在一个新窗口中打开).“放在那里的是任意数据,可能包括密码,例如,如果用户使用一个密码管理器.”
SDK还可以收集精确的GPS信息,以及与设备相关的电话号码和电子邮件地址。此外,它可以尝试拉独特的MAC地址对于手机所连接的互联网路由器来说,这是识别用户活动的另一种方式。然而,根据应用程序的不同,数据收集会有所不同。
AppCensus追踪到该SDK来自巴拿马一家名为Measurement Systems的神秘公司,该公司一直在向Android应用程序开发者支付报酬,以整合该软件开发工具包。该公司的网站(在一个新窗口中打开)目前已经向合作伙伴支付了210万美元,并声称已有数千个应用程序使用了该SDK。
然而,《华尔街日报》报告(在一个新窗口中打开)测量系统公司与弗吉尼亚州一家名为Vostrom Holdings的国防承包商有联系,该公司为美国政府机构提供网络情报工作。“测量系统公司告诉应用程序制造商,它需要的数据主要来自中东、中欧、东欧和亚洲。杂志他引用了该公司的内部文件。
Measurement System没有立即回复记者的置评请求。但该公司告诉杂志“你对公司活动的指控是错误的。此外,我们不知道我们公司和美国国防承包商之间有任何联系。”
安装了SDK的11个Android应用程序包括两个以古兰经为主题的通用应用程序QR条形码扫描器(在一个新窗口中打开)一款名为“速度相机雷达”(Speed Camera Radar)的应用,以及一款将智能手机变成鼠标的程序。今年10月,AppCensus向谷歌报告了调查结果,谷歌立即下了这些应用和其他包含SDK的应用。(你可以在AppCensus中找到每个受影响应用的链接报告(在一个新窗口中打开).)
此后,所有11款应用程序都已回归,但没有搭载Measurement Systems公司的软件开发包。谷歌在一份声明中告诉PCMag:“谷歌Play上的所有应用程序都必须遵守我们的政策,无论开发者是谁。当我们确定一款应用违反了这些政策,我们会采取适当的行动。”