百度地图涉嫌泄露用户敏感数据

UNIT42的报告指出，移动应用程序的数据泄漏是业界已知的问题，数据泄露不但侵犯了用户的隐私，而且可被网络罪犯用于进一步的攻击，例如收集电话位置或获取被叫号码。通过滥用泄漏数据，攻击者可以在用户不知情的情况下从用户设备传输或接收信息。

在基于机器学习（ML）的间谍软件检测系统的帮助下，UNIT42的研究人员在Google Play上发现了多个泄漏数据的Android应用程序，其中影响力最大的两个程序是百度搜索框和百度地图，这两个应用程序在Google Play中总共下载了600万次。这些安卓程序泄露的数据使攻击者可以标识和追踪用户，即使用户更换手机也无法逃避。

研究人员发现有问题的应用程序采集了一系列用户（设备）信息，包括：

手机型号

屏幕分辨率

电话MAC地址

无线运营商

网络（Wi-Fi、2G、3G、4G、5G）

Android ID

国际移动用户识别码（IMSI）

和国际移动设备识别码（IMEI)

IMEI是物理设备（手机硬件）的唯一标识符，包含诸如制造日期和硬件规格之类的信息。IMSI是唯一的蜂窝网络用户标识，通常与手机SIM卡关联，这两个标识符都可用于跟踪和定位蜂窝网络中的用户。研究人员警告说，收集此类数据的Android应用程序可以在多个设备的生命周期内跟踪用户。

除了百度地图（10.24.8版本）和搜索框，UNIT42还发现美国Google Play应用商店还有存在类似行为的流行应用程序，包括Homestyler–Interior Design＆Decorating Ideas应用程序，该应用程序使用了GrowingIO框架。如上表所示，该应用程序也会从用户的设备收集个人信息，但这个应用尚未被Google下架。

报告指出，虽然上述百度应用并未违反Google的Android应用程序政策，但根据Android最佳做法指南，Google建议开发者不要收集诸如IMSI或MAC地址之类的标识符。

据报道，UNIT42将此发现通知了百度以及Google的Android团队，后者确认了调查结果，发现了未指明的违规行为，并于2020年10月28日从全球Google Play中删除了这些应用程序。兼容版本的百度搜索框已于2020年11月19日在Google Play重新上架，但百度地图在全球范围内仍不可用。

Google的Android团队表示：“我们感谢研究界以及Palo Alto Networks等公司的工作，这些公司致力于加强Play商店的安全性。我们期待着将来与他们合作进行更多研究。”

Android团队进一步指出：Android官方应用程序商店（例如Google Play）的某些应用程序有时会出现类似Android恶意软件的行为，有些流行应用每月有数百万的活跃用户。为防止数据泄漏，Android应用程序开发人员应遵循Android的最佳做法指南并正确处理用户的数据。Android用户应及时了解其设备上的应用程序要求的所需权限。