現代人對於個人數據的隱私觀念越來越重視,不過有時真的讓人防不慎防,這已經不是哪一國獨有的行事作風,也並非僅從應用程式前端就能看出端倪。有「俄羅斯的 Google」之稱的 Yandex 近日被安全研究人員發現在開發工具中植入程式碼,透過數千款應用程式收集全球數百萬的用戶資訊並且回傳到自家伺服器中。
俄羅斯大廠 Yandex 被指透過數千款行動應用程式中收集數百萬用戶數據
Yandex 是俄羅斯最大的網路科技公司,提供應用程式開發工具,開發者可透過使用 Yandex API AppMetrica 為其應用程式獲取分析資料來節省時間和金錢,換句話來說,就是無論這款應用是否屬於 Yandex,只要用它的開發工具所創建的應用程式就會變成資料收集網的一部分。
根據英國《Financial Times》的報導,非營利組織 Me2B Alliance 應用程式審查計劃的安全研究人員 Zach Edwards 首先發現了 Yandex SDK 相關的程式碼,並且由 4 名獨立的安全研究專家進行測試,驗證此一事實。Yandex 承認從 Android 與 iOS 用戶處收集數據並將其發送到位於俄羅斯或芬蘭的伺服器中,但聲稱原始數據僅包含有設備、網路以及 IP 位址,從這些資料中「很難識別使用者」,且 Yandex 在與政府單位往來時遵循了「非常嚴格」的內部流程,任何不符合相關程序和法律的請求都會拒絕。Yandex 還表明,從未提供也未曾被要求提供任何使用安裝了 AppMetrica SDK 應用程式的使用者任何資訊。
但安全員專家們並不同意這一說法。Apple 前全球安全首席軟體工程師 Cher Scarlett 表示,一但使用者的資訊被回傳到俄羅斯的伺服器上,Yandex 就可能有義務依據當地法律將這些資訊提供給政府單位。而針對 Yandex 說的「很難識別使用者」這一點,專家們也予以駁斥,這些數據在經過整理後,理論上是能夠做到識別特定用戶,只是 Yandex 有沒有去執行這一步驟而已。安裝了 AppMetrica API 的應用程式包括遊戲、通訊應用、位置共用工具和數百種虛擬網路工具,旨在允許人們瀏覽網頁而不會被追蹤,其中 7 個 VPN 是專門為烏克蘭用戶製作的,根據應用程式智能組織 Appfigures 的數據,包含 AppMetrica SDK 的應用程式總安裝量達到數億之譜。
在俄羅斯入侵烏克蘭后,一些應用程式開發者已開始從他們的應用程式中刪除 AppMetrica,旗下擁有數十款安裝 AppMetrica SDK 的遊戲開發商 Gismart 表示,當戰爭開始時就決定停止使用俄羅斯擁有的服務。具被內建 VPN 的網路瀏覽器 Opera 也表示,他們於 2 月 15 日禁用了SDK 為完全刪除做準備,除了說「切換到自己的廣告平台」之外,沒有給出任何理由。相反的,自入侵烏克蘭以來,已有 2000 多款應用程式添加了 AppMetrica SDK,其中包括幾個似乎旨在跟蹤烏克蘭用戶的應用程式。