Zbog prikupljanja podataka, Google iz Play prodavnice uklonio dve aplikacije

Mobilni telefoni, 25.11.2020, 11:30 AM

Dve Android aplikacije kineskog tehnološkog giganta Baidu uklonjene su iz Google Play prodavnice krajem oktobra.

Aplikacije Baidu Maps i Baidu Search Box uklonjene su nakon što je Google dobio izveštaj američke kompanije Palo Alto Networks da dve aplikacije sadrže kod koji prikuplja informacije o korisnicima.

Prema Palo Alto Networksu, kod za prikupljanje podataka pronađen je u Baidu Push SDK, koji se koristi za prikazivanje obaveštenja u realnom vremenu unutar obe aplikacije.

Kod je odgovoran za prikupljanje podataka kao što su model telefona, MAC adresa, informacije o mobilnom operateru i IMSI (International Mobile Subscriber Identity) broj.

Istraživači Palo Alto Networksa kažu da, iako su neke od prikupljenih informacija „prilično bezopasne“, da se neki podaci poput IMSI koda „mogu se koristiti za jedinstvenu identifikaciju i praćenje korisnika, čak i ako se taj korisnik prebaci na drugi telefon“.

Istraživači kažu da iako Google nije izričito zabranio Android aplikacijama prikupljanje ličnih korisničkih podataka, nakon što su problem prijavili Googleu, tim za bezbednost Play prodavnice je potvrdio njihovo otkriće i „identifikovao [dodatna] nedefinisana kršenja“ u ove dve Baidu aplikacije, što je na kraju dovelo do toga da su aplikacije uklonjene iz zvanične prodavnice 28. oktobra.

Portparol kompanije Baidu je potvrdio da je prikupljanje podataka koje je prijavio Palo Alto Networks pokrenulo istragu Googleovog tima, ali da to nije razlog zbog kojeg su njihove aplikacije uklonjene iz Play prodavnice, pošto je kineska kompanija od korisnika dobila dozvolu za prikupljanje ovih informacija.

Ipak, Googleov tim je otkrio i druge probleme za koja je portparol kineske kompanije rekao da se radi na njihovom rešavanju. Aplikacija Baidu Search Box vraćena je ubrzo u Play prodavnicu, a Baidu kaže da će se aplikacija Baidu Maps takođe vratiti, nakon što njihovi programeri budu rešili prijavljene probleme.

Pre uklanjanja obe aplikacije su imale više od 6 miliona preuzimanja.

Ali pored Baidu Push SDK, tim Palo Alto Networksa je rekao da su takođe identifikovali sličan kod za prikupljanje podataka u ShareSDK koji je razvila kineska kompanija MobTech.

Ovaj kod koristi više od 37500 aplikacija, a istraživači kažu da ovaj SDK takođe omogućava programerima aplikacija da prikupljaju podatke kao što su podaci o modelu telefona, rezoluciji ekrana, MAC adrese, Android ID, ID za oglašavanje, informacije o mobilnom operateru i IMSI (International Mobile Subscriber Identity) i IMEI (International Mobile Equipment Identity) kodove.

„Analiza malvera za Android pokazuje da zlonamerne aplikacije često koriste SDK, poput Baidu Push SDK ili ShareSDK, za izvlačenje i prenos podataka sa uređaja“, rekli su istraživači, ukazujući na to da iako su SDK-ovi možda razvijeni za legitimne svrhe, poput slanja obaveštenja i deljenja sadržaja na društvenim mrežama, programeri zlonamernih aplikacija često ih zloupotrebljavaju.

Ovo je stalan problem ne samo za Android ekosistem, već i za svet aplikacija u celini, jer mnoge aplikacije prikupljaju osetljive korisničke podatke bez ograničenja u odsustvu pravila koja bi izričito zabranjivala takvu praksu.