近日，谷歌從Google Play商店下架了天氣、高速公路雷達、二維碼掃瞄器等數十款應用程序，原因是這些應用程序內置一個秘密獲取數據的軟件代碼，其中多個應用程序的下載量已超千萬次。

發現代碼的研究人員表示，代碼是由一家巴拿馬公司Measurement Systems編寫并付費植入應用程序中的，包含剪貼板內容、電話號碼、電子郵件地址在內的數據能借此被秘密收集。

此前，為防止有害的應用程序進入應用商店， Google Play商店于4月6日對開發政策進行了更新，要求自2022年11月1日起，對于商店內未更新的現有程序，若其目標API級別未能達到最新的主要安卓版本發布后兩年內推出的 API 級別，則無法提供給設備運行較新版安卓操作系統的新用戶。

數十款應用程序被下架

據4月7日消息，國際計算機科學研究所和加州大學伯克利分校的研究員Serge Egelman和卡爾加里大學研究員Joel Reardon在進行安卓應用程序漏洞搜索的審計工作中，發現巴拿馬公司Measurement Systems S. de R.L.編寫并植入的軟件開發工具包(SDK)代碼，能夠秘密地獲取用戶數據。該SDK代碼最開始被發現于多個下載次數超1000萬的應用程序中。

研究人員表示，隱藏在應用程序中的SDK代碼可以獲取包含剪貼板內容、電話號碼、電子郵件地址在內的數據。除基于路由器的較粗略位置數據外，該代碼還能收集精確的 GPS數據 ，并建立數據庫，將電子郵件和電話號碼與GPS歷史位置相對應。也就是說，通過這些數據，能在僅知道個人電話號碼或郵件的情況下，查詢其歷史位置信息。

報道稱，從公司記錄及互聯網域名注冊信息可知，Measurement Systems與一家弗吉尼亞州的國防承包商有關聯，后者參與了為美國國家安全機構提供網絡情報、網絡防御和情報攔截的工作。Measurement Systems 通過支付給世界各地開發人員費用，將代碼置入應用程序，涉及的設備已超過6000萬臺。

目前，谷歌已將內置上述SDK代碼的數十個應用程序從Google Play商店中下架，其中包括高速公路超速檢測應用程序(Speed Camera Radar)、QR和條形碼掃描儀(QR & Barcode Scanner)及簡約天氣和時鐘小部件(Simple weather & clock widget)等。但Serge Egelman 和Joel Reardon發現，盡管自相關信息被曝光后，該SDK已停止運行，沒有繼續收集數據，但這些代碼仍保有從已安裝相關應用程序的手機中收集數據的能力。

谷歌發言人表示，因涉及用戶數據收集而被下架的應用程序，若已刪除了違規代碼，可重新申請在Google Play商店中上架。目前，包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在內的一些應用程序已回歸Google Play商店 。

應用程序安全問題頻發

這并非Google Play商店第一次出現應用程序的安全問題。

2022年3月3日，老牌代碼安全審計機構NCC Group發布了一份報告，對一個遠程訪問銀行的木馬SharkBot的工作原理及其如何繞過Google Play商店的安全措施進行了分析。

SharkBot于2021年10月末被威脅情報團隊Cleafy發現，它通過自動轉賬系統(ATS)技術在被植入的設備中發起資金轉賬。該木馬一旦檢測到運行的銀行應用程序，能夠以特定順序進行一系列事件的模擬，使匯款程序與銀行的交互一致，從而使欺詐行為更加難以被欺詐檢測系統發現。至報告發出時，Google Play商店中假冒殺毒應用程序SharkBotDropper的下載量已超1000次。

為防止有害的應用程序進入Play商店， 4月6日，Google Play商店對開發政策進行了更新。其中，為了避免用戶安裝可能不具備最新隱私和安全功能的應用程序，谷歌拓展了其目標級別API要求。自2022年11月1日起，對于商店內未更新的現有程序，若其目標API級別未能達到最新的主要安卓版本發布后兩年內推出的 API 級別，則無法提供給設備運行較新版安卓操作系統的新用戶。

早前，谷歌為引入更具有私密性的廣告解決方案，于2月16日宣布了一項在安卓上構建隱私沙盒的計劃 ，對與第三方共享用戶數據的行為加以限制。同時，谷歌還在探索相關技術以限制秘密收集數據的情況，其中包含能讓應用程序與廣告SDK整合更安全的方式 。谷歌表示這個計劃將持續多年。