近日,安全研究人員在 Google Play 上發現了兩款檔案管理類應用程式,它們的安裝量總計超過 150 萬次,而且收集了非常多的用戶數據,遠遠超過該應用提供的功能所需的數據量。兩款應用皆來自同一個發行商,可以在用戶沒有進行互動的情況下啟動,竊取敏感數據並將其發送到位於中國的伺服器上。
兩款總安裝量超過 150 萬的檔案管理應用程式,竊取用戶敏感數據發送到中國
根據 Bleeping Computer 的報導,安全研究人員已經向 Google 報告此問題,這兩款應用已經從 Google Play 商店中下架。《File Recovery & Data Recovery》這款應用在設備上標示為「com.spot.music.filedate」,總計有超過 100 萬次的安裝;《File Manager》這款應用標示為「com.file.box.master.gkd」,安裝量超過 50 萬次。
這兩個應用是由行動安全解決方案公司 Pradeo 的行為分析引擎發現,它們於 Google Play 商店中描述關於數據的部分寫道並不會從設備收集任何用戶資訊。
但 Pradeo 發現根本不是這麼一回事,兩款行動應用程式從設備中洩露了以下資料:
- 來自設備記憶體、連接的電子郵件帳戶和社交網路的用戶聯絡人清單。
- 從應用程式中管理或恢復的圖片、音訊和影片。
- 使用者即時位置
- 手機所在國家/地區代碼
- 網路供應商名稱
- SIM 卡供應商的網路代碼
- 操作系統版本號
- 設備品牌和型號
雖然應用程式或許有正當理由收集上面提到的這些數據以確保良好的性能和相容性,但其中大部分數據對於檔案管理或數據恢復功能並非必須,更糟糕的是這些數據還是在未經使用者同意的情況下秘密收集。Pradeo 補充,這兩個應用程式隱藏了它們的主螢幕圖示,使你更難找到和刪除它們。它們還可能濫用使用者在安裝期間批准的授權來重新啟動設備並在後台運行。
Pradeo 推測,發行商很可能使用模擬器或安裝農場來稱加安裝量以提高人氣,讓他們的產品看起來好像更值得信賴。這一理論得到了以下事實的支援:與安裝的使用者群相比,Play 商店中的用戶評論數量太少了。在此我們建議在安裝應用程式之前查看用戶評論,在應用程式安裝過程中注意該應用請求你授予哪些權限,並且只信任信譽良好的開發者與發行商上架的軟體。
