Android apps 外洩個資不是第一天發生,近日就有資安機構指出,一所公司藉於 12 款Androids apps 內嵌入 SDK,以搜集手機用戶的通訊錄,預估至少已搜集全中國三分一人口的姓名與電話號碼。
【科技焦點】Chrome v73 正式支援 Dark Mode!一鍵啟動超方便!
【科技焦點】HKTaxi 推預估的士車費新功能!Google 地圖即時預約
由資安機構 CheckPoint 揭露,被稱為「順手牽羊行動 Operation Sheep」的活動,由一個看似為科技公司 Hangzhou Shun Wang Technologies 作主導。實際該公司為一個網絡平台,將其打造的 SWAnalytics SDK,嵌入 12 款 Android apps 內。該 SWAnalytics 會不經用戶的同意下,偷偷地把手機上的通計錄上傳到該公司的伺服器上,預計總下載量已逾 1.11 億次,估計該公司至少已搜集中國三分一的人口姓名及電話號碼。
Check Point 預計這些通訊錄可能被用來作傳銷、目標詐驗,或者應用於一些友人推薦的計劃內。不過,SWAnalytics 不會搜集 Android 6.0 或以前用戶的通訊錄,而且會放過美圖手機的用戶,原因未明。
【12 款竊取用家通訊錄名單 Android Apps】
- 《來電閃光燈(Incoming Call Flashlight)》
- 《測速大師(Network Speed Master)》
- 《電池醫生(Battery Doctor)》
- 《Wi-Fi 密碼神器(Wi-Fi Password Key)》
- 《Wi-Fi 信號增強器(Wi-Fi Signal Amplifier)》
- 《氧秀直播(Syoo Video)》
- 《充電加速器(Super Battery Charge)》
- 《快樂捕魚(Happy Fishing)》
- 《快樂捕魚(Happy Fishing)》
- 《快樂電玩捕魚(Happy Fishing)》
- 《91Y 直播》
- 《91Y 遊戲》
Check Point 建議如已安裝以上 12 款的 Android Apps 的用戶,盡快移除,雖然受影響的用戶的通錄訊已被搜集,但該 SWAnalytics 是當用戶開啟相關 apps 或重新啟動手機時,便會悄悄搜集手機上的通訊錄資料,若用戶時不時會有新的通訊錄更新,還是刪除為妙。幸運的是,受影響的 Android Apps 未於 Google Play 上發現,主要出現於中國程式市集,如:華為應用程式市集、小米應用商店、360 手機助手、百度手機助手等。
【相關文章】資安報告:掘礦騎劫攻擊落伍 Formjacking.變臉詐騙電郵威脅更大
【相關文章】【消委會】智能家電易洩私隱爆安全隱患!即看 5 大使用貼士
Source:checkpoint