近日雷鋒網獲悉,外媒 BuzzFeed News 調查發現,面向科技開發商和投資者的知名移動應用數據分析公司 SensorTower利用 Android 和 iOS端的 VPN 和廣告攔截應用程序,秘密收集數百萬用戶的數據。
2015年以來,Sensor Tower 至少推出了20個 Android 和 iOS 應用程序,在全球范圍內的下載量超3500萬次,并且在應用描述中并表明與SensorTower 有關,也并未透露會向 Sensor Tower 提供用戶數據。
雷鋒網了解到,當安裝完畢時,上述應用程序會提示用戶安裝根證書(雷鋒網注:root certificate,即在密碼學和計算機安全領域中未被簽名的公鑰證書或自簽名的證書),允許發行商訪問通過手機傳輸的所有流量和數據。
對此,殺毒軟件 MalwareBytes 的 Android 分析師 Armando Orico表示:
給應用程序安裝根證書,用戶會面臨巨大的風險。而一般用戶只是覺得這樣做可以屏蔽廣告,意識不到問題的嚴重性。此外,BuzzFeed News發現了這些應用程序包含由Sensor Tower的開發人員編寫的代碼,從而將它們與 Sensor Tower 聯系起來。 Sensor Tower 的一名開發者也表示,開發了 Android 應用程序,其 GitHub 用戶名是多個應用程序的代碼。另一位 Sensor Tower 開發者也在個人網站稱,他正在“研究非常棒的頂級機密 iOS 項目”。
不過,Sensor Tower向BuzzFeed News解釋,只收集匿名使用及分析數據,這些數據已集成到其產品中。開發者、投資者和發行商等只是通過這些應用的智能平臺來跟蹤其受歡迎程度、使用趨勢和盈利能力。
Sensor Tower 移動分析總監 Randy Nelson回應,出于競爭的考慮,沒有披露這些應用的所有權:
人們確實很容易把這類應用程序與分析公司聯系起來,尤其是這家分析公司還是個初創公司。不過我們公司最初的目標是打造一個廣告攔截器。這些應用程序并未收集敏感數據或個人身份信息,比如密碼、用戶名等。另外,絕大多數應用程序現在已經不可用了。雷鋒網注意到,Randy Nelson無法向媒體證明這些應用程序起初只是在打造廣告攔截器。
多款應用已在App Store、Google Play下架
應用程序“不再可用”,通常是由于違規。
實際上,考慮到用戶的信息安全問題,蘋果和谷歌都限制了應用程序的根證書特權。而 Sensor Tower 的應用程序繞過了限制——在下載應用程序后,提示用戶通過外部網站安裝證書。
例如,如果 Luna VPN(Sensor Tower的眾多應用程序之一)用戶添加廣告攔截擴展,該應用程序會顯示通知,提供在 YouTube 上攔截廣告的功能,而根證書安裝就是這樣開始的。
因此,蘋果發言人表示:
12個 Sensor Tower旗下的應用程序由于違規,已在 App Store下架。
據悉,Google Play 商店曾有四款 Sensor Tower旗下的應用程序——Free and Unlimited VPN、Luna VPN、Mobile Data 和 Adblock Focus。而在 App Store 的是 Adblock Focus 和 Luna VPN 兩款。
在 BuzzFeed News調查結果公布后,蘋果下架了 Adblock Focus,谷歌下架了 Mobile Data。蘋果和谷歌目前還在做進一步的調查。
via BuzzFeed News,雷鋒網編譯。
關鍵詞:
