近日，谷歌从Google Play商店下架了天气、高速公路雷达、二维码扫瞄器等数十款应用程序，原因是这些应用程序内置一个秘密获取数据的软件代码，其中多个应用程序的下载量已超千万次。

发现代码的研究人员表示，代码是由一家巴拿马公司Measurement Systems编写并付费植入应用程序中的，包含剪贴板内容、电话号码、电子邮件地址在内的数据能借此被秘密收集。

此前，为防止有害的应用程序进入应用商店， Google Play商店于4月6日对开发政策进行了更新，要求自2022年11月1日起，对于商店内未更新的现有程序，若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别，则无法提供给设备运行较新版安卓操作系统的新用户。

数十款应用程序被下架

据4月7日消息，国际计算机科学研究所和加州大学伯克利分校的研究员Serge Egelman和卡尔加里大学研究员Joel Reardon在进行安卓应用程序漏洞搜索的审计工作中，发现巴拿马公司Measurement Systems S. de R.L.编写并植入的软件开发工具包(SDK)代码，能够秘密地获取用户数据。该SDK代码最开始被发现于多个下载次数超1000万的应用程序中。

研究人员表示，隐藏在应用程序中的SDK代码可以获取包含剪贴板内容、电话号码、电子邮件地址在内的数据。除基于路由器的较粗略位置数据外，该代码还能收集精确的 GPS数据 ，并建立数据库，将电子邮件和电话号码与GPS历史位置相对应。也就是说，通过这些数据，能在仅知道个人电话号码或邮件的情况下，查询其历史位置信息。

报道称，从公司记录及互联网域名注册信息可知，Measurement Systems与一家弗吉尼亚州的国防承包商有关联，后者参与了为美国国家安全机构提供网络情报、网络防御和情报拦截的工作。Measurement Systems 通过支付给世界各地开发人员费用，将代码置入应用程序，涉及的设备已超过6000万台。

目前，谷歌已将内置上述SDK代码的数十个应用程序从Google Play商店中下架，其中包括高速公路超速检测应用程序（Speed Camera Radar）、QR和条形码扫描仪（QR & Barcode Scanner）及简约天气和时钟小部件（Simple weather & clock widget）等。但Serge Egelman 和Joel Reardon发现，尽管自相关信息被曝光后，该SDK已停止运行，没有继续收集数据，但这些代码仍保有从已安装相关应用程序的手机中收集数据的能力。

谷歌发言人表示，因涉及用户数据收集而被下架的应用程序，若已删除了违规代码，可重新申请在Google Play商店中上架。目前，包括Speed Camera Radar、WiFi Mouse(remote control PC)和QR & Barcode Scanner在内的一些应用程序已回归Google Play商店 。

应用程序安全问题频发

这并非Google Play商店第一次出现应用程序的安全问题。

2022年3月3日，老牌代码安全审计机构NCC Group发布了一份报告，对一个远程访问银行的木马SharkBot的工作原理及其如何绕过Google Play商店的安全措施进行了分析。

SharkBot于2021年10月末被威胁情报团队Cleafy发现，它通过自动转账系统（ATS）技术在被植入的设备中发起资金转账。该木马一旦检测到运行的银行应用程序，能够以特定顺序进行一系列事件的模拟，使汇款程序与银行的交互一致，从而使欺诈行为更加难以被欺诈检测系统发现。至报告发出时，Google Play商店中假冒杀毒应用程序SharkBotDropper的下载量已超1000次。

为防止有害的应用程序进入Play商店， 4月6日，Google Play商店对开发政策进行了更新。其中，为了避免用户安装可能不具备最新隐私和安全功能的应用程序，谷歌拓展了其目标级别API要求。自2022年11月1日起，对于商店内未更新的现有程序，若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别，则无法提供给设备运行较新版安卓操作系统的新用户。

早前，谷歌为引入更具有私密性的广告解决方案，于2月16日宣布了一项在安卓上构建隐私沙盒的计划 ，对与第三方共享用户数据的行为加以限制。同时，谷歌还在探索相关技术以限制秘密收集数据的情况，其中包含能让应用程序与广告SDK整合更安全的方式 。谷歌表示这个计划将持续多年。