報(bào)告稱 Yandex 正向俄羅斯發(fā)送收集的數(shù)百萬(wàn) iOS / 安卓用戶數(shù)據(jù)

IT之家 3 月 29 日消息，據(jù) 9to5 Mac 報(bào)道，今天的一份報(bào)告稱，“俄羅斯谷歌”Yandex 正在向俄羅斯發(fā)送從數(shù)百萬(wàn) iOS /安卓應(yīng)用用戶那里收集的數(shù)據(jù) —— 無(wú)論你是否使用該公司的應(yīng)用程序。當(dāng)?shù)胤煽赡芷仁乖摴鞠蚨砹_斯政府提供這些數(shù)據(jù)。

用戶數(shù)據(jù)可以從一系列使用 Yandex 創(chuàng)建的開(kāi)發(fā)者工具的第三方應(yīng)用中獲取。開(kāi)發(fā)者通過(guò)使用 Yandex API AppMetrica 為他們的應(yīng)用程序獲得分析數(shù)據(jù)來(lái)賺取金錢(qián)，而公司則獲得用戶數(shù)據(jù)作為回報(bào)......

《金融時(shí)報(bào)》稱，一名安全研究人員發(fā)現(xiàn)了向俄羅斯發(fā)送數(shù)據(jù)的代碼，并稱其已獨(dú)立驗(yàn)證了這一說(shuō)法。Yandex 分析代碼被嵌入到蘋(píng)果和谷歌軟件的 52000 個(gè)應(yīng)用中。

“俄羅斯最大的互聯(lián)網(wǎng)公司將代碼嵌入到移動(dòng)設(shè)備上的應(yīng)用程序中，允許將數(shù)百萬(wàn)用戶的信息發(fā)送到位于其本國(guó)的服務(wù)器 [...]。

作為非營(yíng)利組織 Me2B 聯(lián)盟的應(yīng)用程序?qū)徲?jì)活動(dòng)的一部分，研究員 Zach Edwards 首先發(fā)現(xiàn)了 Yandex 的代碼。四位獨(dú)立專家為《金融時(shí)報(bào)》進(jìn)行了測(cè)試，以驗(yàn)證其工作。”

Yandex 承認(rèn)它收集數(shù)據(jù)并將其發(fā)送到俄羅斯的服務(wù)器，但聲稱從整理的信息中“極難識(shí)別用戶”。然而，專家們并不同意。

“曾任蘋(píng)果公司全球安全首席軟件工程師的 Cher Scarlett 說(shuō)，一旦用戶信息被收集到俄羅斯服務(wù)器上，Yandex 就有義務(wù)根據(jù)當(dāng)?shù)胤蓪⑵涮峤唤o政府。其他專家說(shuō)，Yandex 收集的那種元數(shù)據(jù)可以用來(lái)識(shí)別用戶?！?/p>

這對(duì)安全和隱私的影響可能是巨大的。

“在安裝了 AppMetrica 的應(yīng)用程序中，有游戲、消息應(yīng)用、位置共享工具和數(shù)百個(gè)虛擬專用網(wǎng)絡(luò)工具，旨在讓人們?cè)诓槐蛔粉櫟那闆r下瀏覽網(wǎng)絡(luò)。其中有七個(gè)虛擬網(wǎng)絡(luò)是專門(mén)為烏克蘭人制作的。根據(jù)應(yīng)用程序情報(bào)組織 Appfigures 的數(shù)據(jù)，包含 AppMetrica SDK 的應(yīng)用程序的總安裝量為數(shù)億。”

我們已經(jīng)從規(guī)避蘋(píng)果 App 跟蹤透明度隱私要求的嘗試中了解到，大量聽(tīng)起來(lái)無(wú)害的數(shù)據(jù)可以被組合成數(shù)字簽名，從而與個(gè)人設(shè)備聯(lián)系起來(lái)。網(wǎng)站使用的方法也可以被應(yīng)用程序的 API 使用。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。