百度的Android应用收集了敏感的用户详细信息

属于中国科技巨头百度的两个Android应用程序在被捕收集敏感用户详细信息后于10月底从官方Google Play商店中删除。

谷歌收到美国网络安全公司Palo Alto Networks的报告后，删除了百度地图和百度搜索框这两个应用程序。在删除之前，这两个应用的下载量总计超过600万。

根据这家美国安全公司的说法，这两个应用程序包含的代码收集了有关每个用户的电话型号，MAC地址，运营商信息和IMSI（国际移动订户身份）号的信息。

数据收集代码位于百度推SDK中，用于显示两个应用程序中的实时通知。

识别了数据收集代码的Palo Alto Networks安全研究人员Stefan Achleitner和Xu Chengcheng表示，尽管收集的某些信息“相当无害”，但某些数据（例如IMSI代码）可以用于唯一地识别和跟踪用户，即使该用户切换到其他电话。”

研究小组说，虽然在向Google报告问题后，谷歌针对Android应用的政策并未特别禁止收集个人用户详细信息，但Play商店安全小组证实了他们的发现，并在两次调查中“发现了[其他]未指明的违规行为”百度应用程序，最终导致这两个应用程序于10月28日从官方商店中删除。

在撰写本文时，百度搜索框应用已恢复到Play商店，但Palo Alto Networks表示，百度开发人员已删除了数据收集代码。

但是除了百度推送SDK，Palo Alto Networks团队表示，他们还在中国广告技术巨头MobTech开发的ShareSDK中识别了类似的数据收集代码。

Achleitner和Xu表示，该SDK已被37,500多个应用程序使用，该SDK还允许应用程序开发人员收集数据，例如电话型号信息，屏幕分辨率，MAC地址，Android ID，广告ID，运营商信息和IMSI（国际移动订户身份）以及IMEI（国际移动设备识别码）代码。

Achleitner和Xu表示：“对Android恶意软件的分析表明，恶意应用程序经常使用SDK（例如Baidu Push SDK或ShareSDK）来提取和传输设备数据，”他暗示，尽管这些SDK可能是出于合法目的而开发的，例如在社交媒体上推送通知和共享内容，它们经常被恶意应用程序的开发人员滥用。

总而言之，这不仅是Android生态系统的一个常规问题，而且对于整个在线应用程序世界也是一个常规问题，许多应用程序在没有专门禁止此类行为的法规的情况下不受限制地收集敏感的用户详细信息。