近日雷鋒網獲悉,外媒 BuzzFeed News 調查發現,面向科技開發商和投資者的知名移動應用數據分析公司 Sensor Tower 利用 Android 和 iOS 端的 VPN 和廣告攔截應用程序,秘密收集數百萬用戶的數據。
2015 年以來,Sensor Tower 至少推出了 20 個 Android 和 iOS 應用程序,在全球範圍內的下載量超 3500 萬次,並且在應用描述中並表明與 Sensor Tower 有關,也並未透露會向 Sensor Tower 提供用戶數據。
提示用戶安裝根證書
雷鋒網瞭解到,當安裝完畢時,上述應用程序會提示用戶安裝根證書(雷鋒網注:root certificate,即在密碼學和計算機安全領域中未被簽名的公鑰證書或自簽名的證書),允許發行商訪問通過手機傳輸的所有流量和數據。
對此,殺毒軟件 MalwareBytes 的 Android 分析師 Armando Orico 表示:
給應用程序安裝根證書,用戶會面臨巨大的風險。而一般用戶只是覺得這樣做可以屏蔽廣告,意識不到問題的嚴重性。
此外,BuzzFeed News 發現了這些應用程序包含由 Sensor Tower 的開發人員編寫的代碼,從而將它們與 Sensor Tower 聯繫起來。 Sensor Tower 的一名開發者也表示,開發了 Android 應用程序,其 GitHub 用戶名是多個應用程序的代碼。另一位 Sensor Tower 開發者也在個人網站稱,他正在“研究非常棒的頂級機密 iOS 項目”。
不過,Sensor Tower 向 BuzzFeed News 解釋,只收集匿名使用及分析數據,這些數據已集成到其產品中。開發者、投資者和發行商等只是通過這些應用的智能平臺來跟蹤其受歡迎程度、使用趨勢和盈利能力。
Sensor Tower 移動分析總監 Randy Nelson 回應,出於競爭的考慮,沒有披露這些應用的所有權:
人們確實很容易把這類應用程序與分析公司聯繫起來,尤其是這家分析公司還是個初創公司。不過我們公司最初的目標是打造一個廣告攔截器。這些應用程序並未收集敏感數據或個人身份信息,比如密碼、用戶名等。另外,絕大多數應用程序現在已經不可用了。
雷鋒網注意到,Randy Nelson 無法向媒體證明這些應用程序起初只是在打造廣告攔截器。
多款應用已在 App Store、Google Play 下架
應用程序“不再可用”,通常是由於違規。
實際上,考慮到用戶的信息安全問題,蘋果和谷歌都限制了應用程序的根證書特權。而 Sensor Tower 的應用程序繞過了限制——在下載應用程序後,提示用戶通過外部網站安裝證書。
例如,如果 Luna VPN(Sensor Tower 的眾多應用程序之一)用戶添加廣告攔截擴展,該應用程序會顯示通知,提供在 YouTube 上攔截廣告的功能,而根證書安裝就是這樣開始的。
因此,蘋果發言人表示:
12 個 Sensor Tower 旗下的應用程序由於違規,已在 App Store 下架。
據悉,Google Play 商店曾有四款 Sensor Tower 旗下的應用程序——Free and Unlimited VPN、Luna VPN、Mobile Data 和 Adblock Focus。而在 App Store 的是 Adblock Focus 和 Luna VPN 兩款。
在 BuzzFeed News 調查結果公佈後,蘋果下架了 Adblock Focus,谷歌下架了 Mobile Data。蘋果和谷歌目前還在做進一步的調查。
via BuzzFeed News,雷鋒網編譯。
閱讀更多 雷鋒網 的文章
