报告称 Yandex 正向俄罗斯发送收集的数百万 iOS / 安卓用户数据

2022-03-29 22:48IT之家 - 潇公子

IT之家 3 月 29 日消息,据 9to5 Mac 报道,今天的一份报告称,“俄罗斯谷歌”Yandex 正在向俄罗斯发送从数百万 iOS /安卓应用用户那里收集的数据 —— 无论你是否使用该公司的应用程序。当地法律可能迫使该公司向俄罗斯政府提供这些数据。

用户数据可以从一系列使用 Yandex 创建的开发者工具的第三方应用中获取。开发者通过使用 Yandex API AppMetrica 为他们的应用程序获得分析数据来赚取金钱,而公司则获得用户数据作为回报......

《金融时报》称,一名安全研究人员发现了向俄罗斯发送数据的代码,并称其已独立验证了这一说法。Yandex 分析代码被嵌入到苹果和谷歌软件的 52000 个应用中。

“俄罗斯最大的互联网公司将代码嵌入到移动设备上的应用程序中,允许将数百万用户的信息发送到位于其本国的服务器 [...]。

作为非营利组织 Me2B 联盟的应用程序审计活动的一部分,研究员 Zach Edwards 首先发现了 Yandex 的代码。四位独立专家为《金融时报》进行了测试,以验证其工作。”

Yandex 承认它收集数据并将其发送到俄罗斯的服务器,但声称从整理的信息中“极难识别用户”。然而,专家们并不同意。

“曾任苹果公司全球安全首席软件工程师的 Cher Scarlett 说,一旦用户信息被收集到俄罗斯服务器上,Yandex 就有义务根据当地法律将其提交给政府。其他专家说,Yandex 收集的那种元数据可以用来识别用户。”

这对安全和隐私的影响可能是巨大的。

“在安装了 AppMetrica 的应用程序中,有游戏、消息应用、位置共享工具和数百个虚拟专用网络工具,旨在让人们在不被追踪的情况下浏览网络。其中有七个虚拟网络是专门为乌克兰人制作的。根据应用程序情报组织 Appfigures 的数据,包含 AppMetrica SDK 的应用程序的总安装量为数亿。”

我们已经从规避苹果 App 跟踪透明度隐私要求的尝试中了解到,大量听起来无害的数据可以被组合成数字签名,从而与个人设备联系起来。网站使用的方法也可以被应用程序的 API 使用。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享