標籤:

為保安卓市場「清潔」,谷歌真是操碎了心!

最近谷歌商店裡的安卓應用頻頻因個人信息泄露而被曝光,這也導致了很多用戶對谷歌的安全性失去了信心。為了避免此類事件的發生以及挽回用戶的信任,谷歌宣布開始打擊未經用戶允許收集用戶資料的安卓應用。

如果有違規的應用,那它們的開發者必須在60天內作出修改,並在更新通知中,詳細對他們的修改進行詳細說明。否則,在用戶使用該程序時,谷歌會向用戶發出安全警告。

違規安卓應用將無處藏身

為了讓違規安卓應用無處藏身,谷歌會向在谷歌商店和其它非谷歌商店的安卓應用都發出警告。

在谷歌官方商店裡,谷歌會通過內置的Google Play Protect來區分安全的設備, 60天後,如果Google Play Protect一旦檢測出違法收集用戶的安卓應用,就會對用戶手機上安裝的應用程序,以及用戶嘗試安裝且未說明對用戶數據進行收集操作的新應用程序進行警告。

如果該違規安卓應用不在谷歌官方商店裡,該怎麼辦?當用戶嘗試在第三方應用市場上進行下載時,谷歌也會在安卓版的Chrome瀏覽器中對違規應用發出警告。在Chrome瀏覽器中,此警告會在用戶訪問載入違規的應用程序的網站之前顯示給用戶,此時用戶會收到一個安全瀏覽錯誤。

所以,為了避免讓谷歌發出警告通知,安卓應用的開發者必須遵循一系列關於用戶數據收集和披露的規則。

谷歌的規則是這樣解釋的:

要讓應用程序處理用戶數據,如電話號碼和電子郵件地址,或有關設備的數據(如IMEI號碼)時,必須提示用戶,經過他們的許可,才能收集信息,同時應用程序的隱私政策也必須在應用程序中明白顯示。

另外修改後的規則還規定:

如果應用程序收集和傳輸與隱私無關的個人數據時,則必須在收集和傳輸之前說明如何使用這些數據,並讓用戶對此類使用提供肯定同意。

分析化的個性服務受到的影響最大

其實,谷歌自2014年開始關注Android系統上的潛在有害應用程序,包括那些收集和竊取用戶私密信息的應用程序。在谷歌眼裡潛在有害程序包括數據收集、間諜軟體、木馬病毒、惡意下載、釣魚應用、後門和簡訊詐騙等等。而此前谷歌打擊的更多的是含有木馬病毒的應用,對於悄悄收集用戶設備上私密信息的行為管控的不算嚴格。

但與此相對的是越來越多的合法應用程序開發者開始大打擦邊球,開始收集用戶和安卓設備的信息以便於進行分析和廣告宣傳。所以本次新規出來後,影響最大的將是那些看似合法的應用程序。

由於該規定涉及了應用程序的一些底層的應用功能,這不僅僅只針對數據收集的功能,還有其它服務,例如對崩潰報告的數據採集,新規定要求設備上安裝的應用程序列表未經許可不得發送。比較明顯的例子就是我們經常用的許多簡單的小應用,竟然還會請求讀取聯繫人以及讀取和發送簡訊等無關許可權。

很顯然用戶如果將這些許可權開放給了應用,指不定這些應用會直接將用戶的數據並上傳到開發者的伺服器去。

廣告竟成為重點打擊對象

谷歌在2014年掃描應用商店發現的潛在有害程序佔比為0.24%,其中數據收集分類佔比高達0.15%。而在2015年時應用商店裡潛在的有害程序佔比為0.13%,其中數據收集分類佔比同樣高達0.08%。

由於對數據收集的很大一塊來自廣告的推送業務,所以谷歌正在收緊在安卓應用程序打廣告的規則,並警告開發者必須對數據收集行為負責。為了更好的讓開發者理解最新規則,谷歌 已更新其「軟體政策」頁面和應用程序開發人員應如何處理用戶數據的指導頁面。

谷歌的新政策出台幾天後,安全研究人員分析了300多種安卓應用程序大約被嵌入了44種不同的數據追蹤器,其中大多數都是在用戶不知道的情況下。

谷歌長期以來一直在打擊應用程序的非法廣告植入,那些被認為是欺騙性的,破壞性的,不恰當的或干擾其它應用程序或設備功能的應用程序會定期從谷歌商店中移除。上周,谷歌商店的政策中心已經進行了更新,在新的規定中谷歌商店會禁止將廣告引入鎖定屏幕的應用,不過這並不包括那些專門用來鎖定屏幕的應用。

本文翻譯自:bleepingcomputer.com/ne ,如若轉載,請註明原文地址: 4hou.com/info/news/9087 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

IE地址欄的信息是如何泄露的
阿根廷最大社交網站Taringa遭遇大規模數據泄漏,超過2800萬用戶數據暴露
警惕「德勤被黑」的幕後操控者:黑客通過事務所竊取股票交易信息
繞過AppLocker系列之控制面板的利用
OpenSSL 的 Heartbleed 漏洞的影響到底有多大?

TAG:信息安全 |