外洩用戶機密資料，百度搜尋一度遭Google下架，百度地圖仍未重新上架

美國資安業者Palo Alto Networks旗下的威脅情報團隊Unit 42在本周指出，他們發現了Google Play上有許多程式外洩用戶的機密資料，諸如手機MAC位址、IMSI及IMEI等，包含了在美國下載量高達600萬次的百度搜尋（Baidu Search Box）與百度地圖（Baidu Maps），而使得Google將它們全部下架，其中，百度搜尋已於11月19日重新上架，而百度地圖迄今仍消失於Google Play上。

Unit 42所定義的外洩資料是程式會在使用者不知情的狀況下，傳送使用者裝置上的特定資料，並於接收端蒐集，亦可能會在傳輸過程中將資料曝露予第三方。而Unit 42則利用基於機器學習技術的間諜軟體偵測系統，找到了Google Play上可能外洩使用者資料的諸多程式，這些資料將讓使用者可被追蹤，且也許是終生被追蹤。

在Unit 42所發現的程式中，該團隊特別點名了在美國總計有600萬次下載量的百度搜尋及百度地圖，指出這兩個程式蒐集了手機型號、Mac位址、電信業者的資料與IMSI（International Mobile Subscriber Identity）。其中，Mac位址是用來確認網路裝置位置的位址，IMSI則是國際行動用戶辨識碼，它是電信業者賦予用戶的獨特號碼，通常伴隨著手機的SIM卡，因此，就算使用者更換了裝置，但採用同樣的電話號碼，程式依然可透過IMSI來辨識使用者。

研究人員表示，其實蒐集裝置上的IMSI或Mac位址並未明確違反Google的Android程式開發政策，只是Google並不鼓勵程式蒐集這些可辨識個人的資料，但Google在分析了Unit 42的發現之後，認為百度還是違反了某些政策，於10月28日移除全球市場上的百度搜尋及百度地圖，其中，百度搜尋已於11月19日重新上架，而百度地圖則尚無蹤影。百度搜尋在美國市場的下載量為500萬次，百度地圖則是100萬次。

根據Unit 42的研究，蒐集用戶資訊的是百度的Android Push SDK，許多百度程式都採用了該SDK，且除了Android Push SDK之外，由中國研究機構MobTech所發布的ShareSDK可能更值得探究。ShareSDK是一個整合了逾40個社交平台的SDK，可用來存取社交平台上的使用者資訊及聯絡人名單，並執行精準行銷，不過，它不只蒐集了MAC位址、Android ID、廣告ID、IMEI與IMSI等資料，而且有超過3.7萬款程式採用ShareSDK。

儘管這些SDK的開發是基於合法用途，然而，Unit 42的調查卻發現，不管是Android Push SDK或ShareSDK都經常被惡意程式用來汲取及傳輸裝置資料，侵犯了使用者的隱私。