Google 由 Play Store 撤下數十個祕密收集個資的 app

惡意程式碼背後的公司據傳與美國國防承包商及情報部門有關,但該公司矢口否認。

Play Store
Play Store

華爾街日報報導,Google 由 Play Store 下架了數十款天氣、高速公路雷達、QR code 掃瞄器、禱告軟體等 app,用戶總數可能高達數百萬人。下架的原因是這些 app 含有一間名為 Measurement Systems 的公司所寫的程式碼,可以收集用戶的準確位置、email、電話號碼等資訊。這間公司據報與一間美國維吉尼亞州的國防承包商有所關連,並且為美國網路情報部門收集資訊。Measurement Systems 矢口否認所有的相關指控。

這段程式碼是由 UC Berkeley 的研究專家 Serge Egelman 和 University of Calgary 的 Joel Reardon 所發現,Egelman 對華爾街日報表示,該程式碼「毫無疑問可以被形容為惡意軟體」。

Measurement Systems 據報付錢給了開發者,讓開發者將他們的這段程式碼加入自己的 app 中。Measurement Systems 對開發者稱這段程式碼的作用是代替 ISP 為金融機構和能源機構收集資料,並且也會提供用戶資訊給開發者,讓開發者能更了解自己的客群。Measurement Systems 並且特別瞄準了中東、中歐、東歐、及亞洲地區的資訊。雖然 Google 已經將 app 下架,但研究專家們指出這並不會刪除已經存在數以百萬計的用戶裝置中的 app,但他們也發現事情曝光後,該 SDK 已經停止了資訊的收集。

Measurement Systems 的網域是由一間名為 Volstrom Holdings Inc 的公司所註冊,並且透過一間名為 Packet Forensics LLC 的美國維吉尼亞公司,與美國聯邦政府打交道。然而,在一份寄給華爾街日報的 email 聲明中,Measurement System 表示一切指控都是虛假的,並且他們並沒有與任何美國國防承包商有所聯繫,且不知道任何 Volstrom 的存在。他們也不清楚 Packet Forensics 是什麼,或是與他們公司有什麼關聯。