用Podcast訂閱本節目 
美國資安研究單位發現Android用戶如果使用百度搜尋、百度地圖兩款App,用戶識別碼和機器代碼都將偷偷傳回中國,不管你在天涯海角,百度都知道。
中國App又傳出個資外洩事件,美國資安公司 Paloalto Networks 透過機器學習比對惡意軟體行為模式後,對照發現幾款 Android App 有相似行為,包含數百萬人下載的百度搜尋和百度地圖。
這些App外洩資訊使用戶可被追蹤定位,一旦落入惡意人士手中,就可能成為攻擊目標。
Google一度將兩款App下架
儘管兩款App外洩的資料並沒有直接違反Google政策,但是像是 IMSI(國際用戶識別碼)、MAC位址等資訊外流,也不被Android 行為指南認可。研究單位已通報百度與Google,並獲得Google團隊確認屬實,因此10月28日全球下架這些App。
修正後的百度搜尋App於11月19日重新上架,不過百度地圖目前在 Google Play 依然不可用。研究團隊表示,像這種行為在 Android 惡意軟體非常普遍,但如果出現Google Play架上,就可能影響數百萬用戶的資料安全。
人在哪、去過哪資料全都露
更麻煩的是IMSI資料外洩,即使用戶更換手機,也一樣能追蹤到,除非用戶放棄門號重新註冊,否則這資料會一直被追蹤。換句話說,假設你曾在今年用 Android 手機從Google Play下載安裝百度地圖,用戶識別碼很可能已經外流,即使你換了手機,駭客依然可得知用戶資料,包括人在哪裡,去過哪裡。
除了兩個百度App,團隊也發現名為Homestyler- Interior Design & Decorating Ideas 的App採用類似架構,同樣有資訊外洩風險,下載數也高達500萬次,但尚未被 Google下架。
由於安全架構不同,iOS 用戶並不受影響,建議所有 Android 用戶不要使用來路不明的安裝檔,也要時時刻刻注意手機 App,究竟取用哪些資訊,才能保護自己的資訊安全。
(本文轉載自科技新報/Chen Kobe 原篇名:百度怎麼都知道?因為 Android 版 App 有 600 萬個資全外洩)
