外媒 BuzzFeed News 调查发现,面向科技开发商和投资者的知名移动应用数据分析公司 Sensor Tower 利用 Android 和 iOS 端的 VPN 和广告拦截应用程序,秘密收集数百万用户的数据。
2015 年以来,Sensor Tower 至少推出了 20 个 Android 和 iOS 应用程序,在全球范围内的下载量超 3500 万次,并且在应用描述中并表明与 Sensor Tower 有关,也并未透露会向 Sensor Tower 提供用户数据。
雷锋网了解到,当安装完毕时,上述应用程序会提示用户安装根证书(雷锋网注:root certificate,即在密码学和计算机安全领域中未被签名的公钥证书或自签名的证书),允许发行商访问通过手机传输的所有流量和数据。
对此,杀毒软件 MalwareBytes 的 Android 分析师 Armando Orico 表示:
给应用程序安装根证书,用户会面临巨大的风险。而一般用户只是觉得这样做可以屏蔽广告,意识不到问题的严重性。
此外,BuzzFeed News 发现了这些应用程序包含由 Sensor Tower 的开发人员编写的代码,从而将它们与 Sensor Tower 联系起来。 Sensor Tower 的一名开发者也表示,开发了 Android 应用程序,其 GitHub 用户名是多个应用程序的代码。另一位 Sensor Tower 开发者也在个人网站称,他正在“研究非常棒的顶级机密 iOS 项目”。
不过,Sensor Tower 向 BuzzFeed News 解释,只收集匿名使用及分析数据,这些数据已集成到其产品中。开发者、投资者和发行商等只是通过这些应用的智能平台来跟踪其受欢迎程度、使用趋势和盈利能力。
Sensor Tower 移动分析总监 Randy Nelson 回应,出于竞争的考虑,没有披露这些应用的所有权:
人们确实很容易把这类应用程序与分析公司联系起来,尤其是这家分析公司还是个初创公司。不过我们公司最初的目标是打造一个广告拦截器。这些应用程序并未收集敏感数据或个人身份信息,比如密码、用户名等。另外,绝大多数应用程序现在已经不可用了。
雷锋网注意到,Randy Nelson 无法向媒体证明这些应用程序起初只是在打造广告拦截器。
多款应用已在 App Store、Google Play 下架
应用程序“不再可用”,通常是由于违规。
实际上,考虑到用户的信息安全问题,苹果和谷歌都限制了应用程序的根证书特权。而 Sensor Tower 的应用程序绕过了限制——在下载应用程序后,提示用户通过外部网站安装证书。
例如,如果 Luna VPN(Sensor Tower 的众多应用程序之一)用户添加广告拦截扩展,该应用程序会显示通知,提供在 YouTube 上拦截广告的功能,而根证书安装就是这样开始的。
因此,苹果发言人表示:
12 个 Sensor Tower 旗下的应用程序由于违规,已在 App Store 下架。
据悉,Google Play 商店曾有四款 Sensor Tower 旗下的应用程序——Free and Unlimited VPN、Luna VPN、Mobile Data 和 Adblock Focus。而在 App Store 的是 Adblock Focus 和 Luna VPN 两款。
在 BuzzFeed News 调查结果公布后,苹果下架了 Adblock Focus,谷歌下架了 Mobile Data。苹果和谷歌目前还在做进一步的调查。
via BuzzFeed News,雷锋网编译。
|