产品介绍

　　近来，谷歌从Google Play商铺下架了气候、高速公路雷达、二维码扫瞄器等数十款使用程序，原因是这些使用程序内置一个隐秘获取数据的软件代码，其间多个使用程序的下载量已超千万次。

　　发现代码的研究人员表明，代码是由一家巴拿马公司Measurement Systems编写并付费植入使用程序中的，包括剪贴板内容、电话号码、电子邮件地址在内的数据能借此被隐秘搜集。

　　此前，为防止有害的使用程序进入使用商铺， Google Play商铺于4月6日对开发方针进行了更新，要求自2022年11月1日起，关于商铺内未更新的现有程序，若其方针API等级未能到达最新的首要安卓版别发布后两年内推出的 API 等级，则无法供给给设备运转较新版安卓操作体系的新用户。

　　据4月7日音讯，世界计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓使用程序缝隙查找的审计作业中，发现巴拿马公司Measurement Systems S. de R.L.编写并植入的软件开发工具包(SDK)代码，可以隐秘地获取用户数据。该SDK代码最开端被发现于多个下载次数超1000万的使用程序中。

　　研究人员表明，隐藏在使用程序中的SDK代码可以获取包括剪贴板内容、电话号码、电子邮件地址在内的数据。除根据路由器的较大略方位数据外，该代码还能搜集准确的 GPS数据 ，并树立数据库，将电子邮件和电话号码与GPS前史方位相对应。也就是说，经过这些数据，能在仅知道个人电话号码或邮件的状况下，查询其前史方位信息。

　　报导称，从公司记载及互联网域名注册信息可知，Measurement Systems与一家弗吉尼亚州的国防承包商有相关，后者参加了为美国国家安全组织供给网络情报、网络防护和情报阻拦的作业。Measurement Systems 经过支交给世界各地开发人员费用，将代码置入使用程序，触及的设备已超越6000万台。

　　现在，谷歌已将内置上述SDK代码的数十个使用程序从Google Play商铺中下架，其间包括高速公路超速检测使用程序(Speed Camera Radar)、QR和条形码扫描仪(QR & Barcode Scanner)及精约气候和时钟小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon发现，虽然自相关信息被曝光后，该SDK已中止运转，没有继续搜集数据，但这些代码仍保有从已装置相关使用程序的手机中搜集数据的才能。

　　2022年3月3日，老牌代码安全审计组织NCC Group发布了一份陈述，对一个长途拜访银行的木马SharkBot的作业原理及其怎么绕过Google Play商铺的安全措施进行了剖析。

　　SharkBot于2021年10月末被要挟情报团队Cleafy发现，它经过主动转账体系(ATS)技能在被植入的设备中建议资金转账。该木马一旦检测到运转的银行使用程序，可以以特定次序进行一系列事情的模仿，使汇款程序与银行的交互共同，从而使诈骗行为愈加难以被诈骗检测体系发现。至陈述宣告时，Google Play商铺中冒充杀毒使用程序SharkBotDropper的下载量已超1000次。

　　为防止有害的使用程序进入Play商铺， 4月6日，Google Play商铺对开发方针进行了更新。其间，为了防止用户装置或许不具备最新隐私和安全功用的使用程序，谷歌拓宽了其方针等级API要求。自2022年11月1日起，关于商铺内未更新的现有程序，若其方针API等级未能到达最新的首要安卓版别发布后两年内推出的 API 等级，则无法供给给设备运转较新版安卓操作体系的新用户。

　　早前，谷歌为引进更具有私密性的广告解决方案，于2月16日宣告了一项在安卓上构建隐私沙盒的方案 ，对与第三方同享用户数据的行为加以约束。一起，谷歌还在探究相关技能以约束隐秘搜集数据的状况，其间包括能让使用程序与广告SDK整合更安全的方法 。谷歌表明这个方案将继续多年。