谷歌因数据收集违规,下载量超过2000万次,下载量超过2000万次,下载量为3款儿童安卓应用

2020-10-23 21:03:03

总部位于波士顿的非营利性监督机构国际数字责任委员会(IDAC)的研究人员发现,最近发现三款针对年轻用户的流行且看似无辜的应用程序违反了谷歌的数据收集政策,可能会获取用户的Android ID和AAID(Android Advertising ID)号码,数据泄露可能与使用Unity、Umeng和AppoDeal的SDK构建的应用程序有关。

正如你在上面的链接中看到的那样,这三款有问题的应用--公主沙龙​、数字彩绘和​猫和Cosplay--现在已经从谷歌Play应用商店中删除了。谷歌向我们证实,在IDAC将违规行为引起其注意后,它删除了这些应用程序。

谷歌发言人表示:“我们可以确认报告中提到的应用程序已被移除。”“每当我们发现违反我们政策的应用程序时,我们都会采取行动。”

这些违规行为表明,人们对这三家出版商遵守数据保护政策的做法存在更广泛的担忧。IDAC主席昆汀·帕尔弗里(Quentin Palfrey)说:“我们在研究中观察到的做法引发了人们对这些应用程序中的数据做法的严重担忧。”

这一事件被突显出来之际,人们正将大量注意力集中在谷歌及其运营规模上。本周早些时候,美国司法部和11个州起诉该公司,指控其在搜索和搜索广告领域存在垄断和反竞争行为。

需要明确的是,这里的APP违规与搜索无关,但它们突显了谷歌运营的规模,以及即使是很小的疏忽也可能导致数千万用户受到影响。它们还提醒人们,主动监管如此规模的个人违规行为面临着挑战,这些挑战可能会落在一个特别危险的领域:未成年人如何使用应用程序。

至少在两家出版商Creative app和Libii Tech(它们的应用程序是围绕故事顶部所示的人物角色构建的)的情况下,其他应用程序仍然存在。而且看起来这些应用程序的版本仍然可以通过APK网站(比如这个)下载。IOS上也有版本(例如这里),但Palfrey表示,它没有评估iOS版本,所以不清楚它们是否也有类似的数据泄露。

这种情况下的违规行为很复杂,但它是通过应用程序在不知不觉中跟踪用户的一种方式。

IDAC指出,加载到看起来无害的应用程序中的幕后活动和数据处理,强调了应用程序开发者特别使用的三个SDK:Unity 3D和游戏引擎,Umeng(阿里巴巴旗下的分析提供商,被一些人描述为广告软件提供商),以及AppoDeal(另一家应用程序货币化和分析提供商)-是问题的根源。

Palfrey解释说,问题在于如何将应用程序能够通过SDK访问的数据与其他类型的数据联系起来,如地理位置信息。他说:“如果AAID信息与持久识别符(如Android ID)一起传输,那么谷歌为保护隐私而采取的保护措施就有可能被衔接起来。”

IDAC没有具体说明所有SDK中的违规行为,但在一个例子中指出,Unity的SDK的某些版本同时收集用户的AAID和Android ID,这可能允许开发人员“绕过隐私控制,跨设备跟踪用户”。

IDAC将AAID描述为“将一个用户的所有数据聚合到一个地方的通行证”。它允许广告商根据用户可能拥有的偏好信号向用户投放广告。用户可以重置AAID。但是,如果SDK还提供了指向用户Android ID的链接(这是一个静态数字),它就会开始创建一座“桥梁”来识别和跟踪用户。

Palfrey不愿太具体地说明是否可以确定它确定的违规行为实际上提取了多少数据,但谷歌表示,它正在继续努力建立合作伙伴关系和程序,以抓获类似的(故意或无意的)不良行为。

这位发言人说:“我们在这里所做工作的一个例子是我们在2019年宣布的家庭广告认证项目。”对于希望在儿童和家庭应用程序中提供广告的应用程序,我们要求他们只使用自我认证符合儿童/家庭政策的广告SDK。我们还要求,仅针对儿童的应用程序不能包含任何未经批准在儿童导向服务中使用的API或SDK。“。

IDAC成立于2020年,是隐私论坛未来的一个分支,它还对生育应用和新冠肺炎跟踪器上侵犯数据隐私的行为进行了调查,本周早些时候,它还发布了影响到数以百万计用户的推特MoPub SDK旧版本数据泄露的调查结果。