研究人员：百度地图和百度应用程序在全球范围内下载了约1.4B，正在泄露敏感的用户数据。百度地图仍从Google Play商店中删除

研究人员周二称，由中国科技巨头百度开发的两个应用正在泄漏“敏感”用户数据，有可能使多达14亿用户受到监视或网络犯罪。

上个月底，这两个应用程序（百度地图和百度应用程序）被赶出了Google Play商店，因为Google感谢研究人员披露了该软件的隐私问题。百度应用程序经过更新后重新上线，而百度地图则保持离线状态。

仅在美国，这些应用就拥有600万用户，全球下载量估计为14亿。帕洛阿尔托网络公司（Palo Alto Networks）Unit42的研究人员声称，他们正在从手机中泄漏数据，这可能会使所有下载应用程序的人都受到持续监视。他们在发布前被《福布斯》（Forbes）看到的一份报告中写道：“泄露的数据使用户有可能在其整个生命周期内受到跟踪。”他们只检查了可通过Google Play下载的应用版本，但他们认为所有全球应用商店中的所有版本都有可能受到影响。

研究人员发现，在应用程序中名为“ Push”的百度软件开发套件（SDK）正在向中国服务器发送“敏感”用户数据。该信息包括电话型号，IMSI号码和MAC地址。

数据泄漏可能看起来是无害的，但是正如Unit 42研究人员所指出的那样，即使他们更换了手机，IMSI和IMEI号码也可以用来识别和跟踪用户。例如，IMSI是蜂窝运营商给出的唯一标识用户的号码。

“收集数据的Android应用程序（例如IMSI）能够在多个设备的生命周期内跟踪用户。例如，如果用户将他们的SIM卡切换到新手机并安装了先前收集并发送了IMSI号码的应用程序，则应用程序开发人员便能够唯一地标识该用户。”研究人员写道。

“ Android应用程序和SDK的数据泄漏表示严重侵犯了用户的隐私。检测此类行为对于保护移动用户的隐私权至关重要。”

Unit 42的首席研究员Stefan Achleitner说，用户也有可能受到网络犯罪的威胁，因为有可能使用泄露的信息来检测和重定向呼叫。 Achleitner告诉《福布斯》：“出于经济动机的网络犯罪分子可以将用户拨打的电话转接到他们的银行，并且假装自己是银行代表，网络犯罪分子可以要求用户提供银行信息。” “从那里，网络罪犯可以访问用户的银行帐户，并有可能窃取他们的钱。”

在帕洛阿尔托上个月将问题告知Google之后，研究人员说，加利福尼亚州山景城巨头证实了这一发现，并随后在10月28日删除这些应用程序之前确定了“其他违规行为”。谷歌和帕洛阿尔托都没有说其他违规行为是什么。 。百度应用经过更新后，于11月19日重返Google Play，但百度地图仍然被禁止使用。

百度对帕洛阿尔托网络公司的研究导致了谷歌禁令的说法提出了异议。百度发言人说：“我们正在努力按照Google的指南更新百度地图，并希望该应用程序将在12月初返回到Google Play。”

这家中国公司表示，正在抓取这些数据以“启用Push功能，如隐私协议中所披露。”百度非常重视用户的隐私和安全，数据仅在用户授权下使用。在Unit 42进行研究之前，已报告的问题已在最新版本的应用程序中得到解决。”

该公司尚未回答有关为何首先禁止使用这些应用程序的其他问题。

Google发言人没有提供更多细节，但补充说：“我们感谢研究界以及Palo Alto Networks等公司的工作，这些公司致力于加强Play商店的安全性。我们期待着将来与他们合作进行更多研究。”

今年早些时候，另一家中国供应商小米被发现可以通过其Android应用程序记录用户的Web浏览习惯，即使他们以隐身模式运行也是如此。