IT之家 3 月 29 日消息,據(jù) 9to5 Mac 報道,今天的一份報告稱,“俄羅斯谷歌”Yandex 正在向俄羅斯發(fā)送從數(shù)百萬 iOS /安卓應用用戶那里收集的數(shù)據(jù) —— 無論你是否使用該公司的應用程序。當?shù)胤煽赡芷仁乖摴鞠蚨砹_斯政府提供這些數(shù)據(jù)。
用戶數(shù)據(jù)可以從一系列使用 Yandex 創(chuàng)建的開發(fā)者工具的第三方應用中獲取。開發(fā)者通過使用 Yandex API AppMetrica 為他們的應用程序獲得分析數(shù)據(jù)來賺取金錢,而公司則獲得用戶數(shù)據(jù)作為回報......
《金融時報》稱,一名安全研究人員發(fā)現(xiàn)了向俄羅斯發(fā)送數(shù)據(jù)的代碼,并稱其已獨立驗證了這一說法。Yandex 分析代碼被嵌入到蘋果和谷歌軟件的 52000 個應用中。
“俄羅斯最大的互聯(lián)網(wǎng)公司將代碼嵌入到移動設備上的應用程序中,允許將數(shù)百萬用戶的信息發(fā)送到位于其本國的服務器 [...]。
作為非營利組織 Me2B 聯(lián)盟的應用程序?qū)徲嫽顒拥囊徊糠?,研究員 Zach Edwards 首先發(fā)現(xiàn)了 Yandex 的代碼。四位獨立專家為《金融時報》進行了測試,以驗證其工作。”
Yandex 承認它收集數(shù)據(jù)并將其發(fā)送到俄羅斯的服務器,但聲稱從整理的信息中“極難識別用戶”。然而,專家們并不同意。
“曾任蘋果公司全球安全首席軟件工程師的 Cher Scarlett 說,一旦用戶信息被收集到俄羅斯服務器上,Yandex 就有義務根據(jù)當?shù)胤蓪⑵涮峤唤o政府。其他專家說,Yandex 收集的那種元數(shù)據(jù)可以用來識別用戶?!?/p>
這對安全和隱私的影響可能是巨大的。
“在安裝了 AppMetrica 的應用程序中,有游戲、消息應用、位置共享工具和數(shù)百個虛擬專用網(wǎng)絡工具,旨在讓人們在不被追蹤的情況下瀏覽網(wǎng)絡。其中有七個虛擬網(wǎng)絡是專門為烏克蘭人制作的。根據(jù)應用程序情報組織 Appfigures 的數(shù)據(jù),包含 AppMetrica SDK 的應用程序的總安裝量為數(shù)億?!?/p>
我們已經(jīng)從規(guī)避蘋果 App 跟蹤透明度隱私要求的嘗試中了解到,大量聽起來無害的數(shù)據(jù)可以被組合成數(shù)字簽名,從而與個人設備聯(lián)系起來。網(wǎng)站使用的方法也可以被應用程序的 API 使用。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。