据《华尔街日报》报道,谷歌在发现他们秘密收集数据后,已经下架了数百万用户使用的数十个应用程序。研究人员发现天气应用程序、高速公路雷达应用程序、二维码扫描仪、祈祷应用程序和其他包含可以获取用户精确位置、电子邮件、电话号码等的代码的应用程序。它是由 Measurement Systems 制造的,据报道该公司与弗吉尼亚州的一家国防承包商有联系,该承包商为美国国家安全机构提供网络情报等服务。它否认了这些指控。
该代码是由加州大学伯克利分校的研究人员 Serge Egelman 和卡尔加里大学的 Joel Reardon 发现的,他们向联邦监管机构和谷歌披露了他们的发现。它可以“毫无疑问地被描述为恶意软件”,Egelman 告诉华尔街日报。
据报道,Measurement Systems 向开发人员支付了将他们的软件开发工具包 (SDK) 添加到应用程序的费用。开发人员不仅会获得报酬,还会收到有关其用户群的详细信息。 SDK 存在于下载到至少 6000 万台移动设备的应用程序中。一位应用程序开发人员表示,他们被告知该代码正在代表 ISP 以及金融服务和能源公司收集数据。 Measurement Systems 还表示,它想要的数据主要来自中东、中欧和东欧以及亚洲。
“将某人的实际电子邮件和电话号码映射到他们精确的 GPS 位置历史记录的数据库尤其令人恐惧,因为它可以很容易地被用来运行一项服务,只需知道一个人的电话号码或电子邮件,就可以查找一个人的位置历史记录,这可以用于以记者、持不同政见者或政治对手为目标,”里尔登在AppCensus 研究博客中说。
尽管谷歌已经从 Play Store 下架了这些应用程序,但研究人员指出,它们仍然存在于数百万台设备上。同时,他们发现 SDK 在他们的发现被揭露后停止收集用户数据。
Measurement Systems 域由一家名为 Volstrom Holdings Inc. 的公司注册,该公司通过一家名为 Packet Forensics LLC 的子公司与联邦政府打交道。 《华尔街日报》指出,一家名为 Measurement Systems S de RL 的公司“还将两家控股公司列为高管,这两家公司都与 Volstrom 的附属人员共享弗吉尼亚州斯特林的地址。”
在一份声明中,Measurement Systems 通过电子邮件告诉《华尔街日报》 ,“你对公司活动的指控是错误的。此外,我们不知道我们公司与美国国防承包商之间有任何联系,也不知道……一家名为 Vostrom 的公司. 我们也不清楚 Packet Forensics 是什么或它与我们公司的关系。”