外泄用户机密资料，百度搜寻一度遭Google下架，百度地图仍未重新上架

美国资安业者Palo Alto Networks旗下的威胁情报团队Unit 42在本周指出，他们发现了Google Play上有许多程式外泄用户的机密资料，诸如手机MAC位址、IMSI及IMEI等，包含了在美国下载量高达600万次的百度搜寻（Baidu Search Box）与百度地图（Baidu Maps），而使得Google将它们全部下架，其中，百度搜寻已于11月19日重新上架，而百度地图迄今仍消失于Google Play上。

Unit 42所定义的外泄资料是程式会在使用者不知情的状况下，传送使用者装置上的特定资料，并于接收端搜集，亦可能会在传输过程中将资料曝露予第三方。而Unit 42则利用基于机器学习技术的间谍软件侦测系统，找到了Google Play上可能外泄使用者资料的诸多程式，这些资料将让使用者可被追踪，且也许是终生被追踪。

在Unit 42所发现的程式中，该团队特别点名了在美国总计有600万次下载量的百度搜寻及百度地图，指出这两个程式搜集了手机型号、Mac位址、电信业者的资料与IMSI（International Mobile Subscriber Identity）。其中，Mac位址是用来确认网络装置位置的位址，IMSI则是国际行动用户辨识码，它是电信业者赋予用户的独特号码，通常伴随着手机的SIM卡，因此，就算使用者更换了装置，但采用同样的电话号码，程式依然可透过IMSI来辨识使用者。

研究人员表示，其实搜集装置上的IMSI或Mac位址并未明确违反Google的Android程式开发政策，只是Google并不鼓励程式搜集这些可辨识个人的资料，但Google在分析了Unit 42的发现之后，认为百度还是违反了某些政策，于10月28日移除全球市场上的百度搜寻及百度地图，其中，百度搜寻已于11月19日重新上架，而百度地图则尚无踪影。百度搜寻在美国市场的下载量为500万次，百度地图则是100万次。

根据Unit 42的研究，搜集用户资讯的是百度的Android Push SDK，许多百度程式都采用了该SDK，且除了Android Push SDK之外，由中国研究机构MobTech所发布的ShareSDK可能更值得探究。ShareSDK是一个整合了逾40个社交平台的SDK，可用来存取社交平台上的使用者资讯及联络人名单，并执行精准行销，不过，它不只搜集了MAC位址、Android ID、广告ID、IMEI与IMSI等资料，而且有超过3.7万款程式采用ShareSDK。

尽管这些SDK的开发是基于合法用途，然而，Unit 42的调查却发现，不管是Android Push SDK或ShareSDK都经常被恶意程式用来汲取及传输装置资料，侵犯了使用者的隐私。