近日,外媒調(diào)查發(fā)現(xiàn),面向科技開發(fā)商和投資者的知名移動應用數(shù)據(jù)分析公司SensorTower利用Android和iOS端的VPN和廣告攔截應用程序,秘密收集數(shù)百萬用戶的數(shù)據(jù)。
2015年以來,SensorTower至少推出了20個Android和iOS應用程序,在全球范圍內(nèi)的下載量超3500萬次,并且在應用描述中并表明與SensorTower有關,也并未透露會向SensorTower提供用戶數(shù)據(jù)。
提示用戶安裝根證書
據(jù)了解,當安裝完畢時,上述應用程序會提示用戶安裝根證書(雷鋒網(wǎng)注:rootcertificate,即在密碼學和計算機安全領域中未被簽名的公鑰證書或自簽名的證書),允許發(fā)行商訪問通過手機傳輸?shù)乃辛髁亢蛿?shù)據(jù)。
對此,殺毒軟件MalwareBytes的Android分析師ArmandoOrico表示:
給應用程序安裝根證書,用戶會面臨巨大的風險。而一般用戶只是覺得這樣做可以屏蔽廣告,意識不到問題的嚴重性。
此外,BuzzFeedNews發(fā)現(xiàn)了這些應用程序包含由SensorTower的開發(fā)人員編寫的代碼,從而將它們與SensorTower聯(lián)系起來。SensorTower的一名開發(fā)者也表示,開發(fā)了Android應用程序,其GitHub用戶名是多個應用程序的代碼。另一位SensorTower開發(fā)者也在個人網(wǎng)站稱,他正在“研究非常棒的頂級機密iOS項目”。
不過,SensorTower向BuzzFeedNews解釋,只收集匿名使用及分析數(shù)據(jù),這些數(shù)據(jù)已集成到其產(chǎn)品中。開發(fā)者、投資者和發(fā)行商等只是通過這些應用的智能平臺來跟蹤其受歡迎程度、使用趨勢和盈利能力。
SensorTower移動分析總監(jiān)RandyNelson回應,出于競爭的考慮,沒有披露這些應用的所有權(quán):
人們確實很容易把這類應用程序與分析公司聯(lián)系起來,尤其是這家分析公司還是個初創(chuàng)公司。不過我們公司最初的目標是打造一個廣告攔截器。這些應用程序并未收集敏感數(shù)據(jù)或個人身份信息,比如密碼、用戶名等。另外,絕大多數(shù)應用程序現(xiàn)在已經(jīng)不可用了。
RandyNelson無法向媒體證明這些應用程序起初只是在打造廣告攔截器。
多款應用已在AppStore、GooglePlay下架
應用程序“不再可用”,通常是由于違規(guī)。
實際上,考慮到用戶的信息安全問題,蘋果和谷歌都限制了應用程序的根證書特權(quán)。而SensorTower的應用程序繞過了限制——在下載應用程序后,提示用戶通過外部網(wǎng)站安裝證書。
例如,如果LunaVPN(SensorTower的眾多應用程序之一)用戶添加廣告攔截擴展,該應用程序會顯示通知,提供在YouTube上攔截廣告的功能,而根證書安裝就是這樣開始的。
因此,蘋果發(fā)言人表示:
12個SensorTower旗下的應用程序由于違規(guī),已在AppStore下架。
據(jù)悉,GooglePlay商店曾有四款SensorTower旗下的應用程序——FreeandUnlimitedVPN、LunaVPN、MobileData和AdblockFocus。而在AppStore的是AdblockFocus和LunaVPN兩款。
在BuzzFeedNews調(diào)查結(jié)果公布后,蘋果下架了AdblockFocus,谷歌下架了MobileData。蘋果和谷歌目前還在做進一步的調(diào)查。
