IT资讯
暗藏SilverPush代码?研究人员:数百万安卓设备或被用于监听用户
2021-01-06 11:03  浏览:15

  5月8日消息 据外媒报道,一个来自德国布伦瑞克工业大学(TUBS)的研究团队表示,他们发现有234款Android应用包含了一种被称为“SilverPush”的代码,用于跟踪用户的媒体消费和购物习惯!此外,该团队还指出,这些应用也可能被用于跨多款设备建立用户身份,跟踪用户的位置,甚至能让使用比特币的服务和匿名网络Tor等服务实名化。

  据了解,在这些被检测到的应用中,下载量最多的一些应用不会将这些功能通知用户。

  研究人员在报告中写道:“设备跟踪是对用户隐私的严重威胁,因为它能够窥探用户的习惯和活动。”最近的做法是将超声波信标嵌入到音频中,并利用移动设备的麦克风来跟踪它们,这个侧面通道允许开发者识别用户当前的位置,监视用户的电视观看习惯,或者将用户的不同移动设备连接在一起。”

  他们补充说:“我们的研究结果证实了我们对隐私问题的担忧:我们在各种网络内容中发现了超声波信标,在欧洲两个城市的35家商店中,有4家商店检测到用于跟踪位置的信号。虽然我们在7个国家的电视数据流中没有找到超声波信标,但我们发现234款Android应用在设备后台不断监听超声波信标,而这是在用户不知情的情况下进行的。”

  研究人员通过将已知的SilverPush代码与130万款应用的数据库进行比较,来发现这些应用。他们发现包含SilverPush代码的应用,包括来自菲律宾麦当劳和Krispy Kreme的应用,每款应用均被大约50万Android用户安装。Krispy Kreme是美国大型甜甜圈连锁品牌。其它包含SilverPush代码的应用主要针对印度和菲律宾的用户,有些应用的下载量多达500万。研究人员发现,随着时间的推移,使用SilverPush代码的应用出现激增,从2015年12月的39款增加至今年1月的234款。

  在欧洲,研究人员访问了35家零售商店,在其中四家检测到超声波信标。不过,在审查了140个小时的电视和音频内容后,他们未能在媒体内容中找到超声波信标。在4月下旬电气和电子工程师协会(IEEE)举行的一个会议上,这些研究人员介绍了他们的发现,但这些研究尚未获得全面的学术同行评议。

  SilverPush公司创始人海特什·乔拉(Hitesh Chawla) 接受科技博客Ars Technica采访时表示,对该报告的调查结果提出异议。SilverPush公司宣称,在2016年美国联邦贸易委员会(FTC)就上述监听行为对12款应用的开发者提出警告后,该公司已经放弃了广告跟踪业务。

  值得一提的是,研究人员并未对iPhone中的应用进行检测,因此也不能保证SilverPush代码不会潜伏在苹果的生态系统中!