聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
耶鲁隐私实验室和 Exodus 隐私公司联合发布了几十款具有侵入性的跟踪器(即记录用户即用户使用情况的软件),它们内嵌在安卓app中并记录用户活动,而且有时候甚至未经用户同意就开展记录。
两个机构在上周发布的研究成果中表示,通过第三方追踪码收集用户数据的行为在安卓 app 开发人员中间变得十分猖獗,而且跟当前最流行网站的情况大致相同。
这两个调查团队发现追踪脚本不仅出现在名不见经传的安卓 app 中——在这种情况下,有人可能会认为开发人员这么做是为了将自己的小规模用户基数货币化,而且出现在十分流行的app中,如优步、Twitter、Tinder、Soundcloud或Spotify。
新建网站显示使用跟踪器的热门 app
两个机构随后创建了一个专门网站,将所有使用追踪代码和跟踪器清单的 app 全部列出来。
网站会列出每款 app 所使用的跟踪器,以及跟踪器所收集的内容详情、跟踪器隐私策略上的信息、所有权以及其它相关连接和信息。
研究人员表示总共在300多款安卓app中找到44款跟踪器。总体而言,Exodus 分析了其中的四分之三的 app,发现它们包含至少一个跟踪组件,其中谷歌的 CrashLytics 和 DoubleClick 是使用最多的跟踪器。
虽然一些跟踪器仅收集 app 的崩溃报告(如谷歌的CrashLytics),但有些跟踪器还会收集 app 使用信息和用户详情,而这些信息中不乏敏感信息。
iOS app很可能也受影响
另外,研究人员还指出,多数追踪提供商还提供同源的iOS组件,也就是说这个问题很可能还影响iOS app。
Exodus 为每款跟踪器都发布了签名,以便移动安全厂商将它们嵌入到安全扫描器中并检测到使用这些服务的 app。
更多详情可参见 Exodus 的项目网站 (https://reports.exodus-privacy.eu.org/reports/apps/) 以及耶鲁隐私实验室的 GitHub 仓库 (https://github.com/YalePrivacyLab/tracker-profiles)。关于这个主题的研究还会继续。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/google-discovers-new-tizi-android-spyware/