最新消息 3 月 29 日消息,据 9to5 Mac 报道,今天的一份报告称,“俄罗斯谷歌”Yandex 正在向俄罗斯发送从数百万 iOS /安卓应用用户那里收集的数据 —— 无论你是否使用该公司的应用程序。当地法律可能迫使该公司向俄罗斯政府提供这些数据。
用户数据可以从一系列使用 Yandex 创建的开发者工具的第三方应用中获取。开发者通过使用 Yandex API AppMetrica 为他们的应用程序获得分析数据来赚取金钱,而公司则获得用户数据作为回报......
《金融时报》称,一名安全研究人员发现了向俄罗斯发送数据的代码,并称其已独立验证了这一说法。Yandex 分析代码被嵌入到苹果和谷歌软件的 52000 个应用中。
“俄罗斯最大的互联网公司将代码嵌入到移动设备上的应用程序中,允许将数百万用户的信息发送到位于其本国的服务器 [...]。
作为非营利组织 Me2B 联盟的应用程序审计活动的一部分,研究员 Zach Edwards 首先发现了 Yandex 的代码。四位独立专家为《金融时报》进行了测试,以验证其工作。”
Yandex 承认它收集数据并将其发送到俄罗斯的服务器,但声称从整理的信息中“极难识别用户”。然而,专家们并不同意。
“曾任苹果公司全球安全首席软件工程师的 Cher Scarlett 说,一旦用户信息被收集到俄罗斯服务器上,Yandex 就有义务根据当地法律将其提交给政府。其他专家说,Yandex 收集的那种元数据可以用来识别用户。”
这对安全和隐私的影响可能是巨大的。
“在安装了 AppMetrica 的应用程序中,有游戏、消息应用、位置共享工具和数百个虚拟专用网络工具,旨在让人们在不被追踪的情况下浏览网络。其中有七个虚拟网络是专门为乌克兰人制作的。根据应用程序情报组织 Appfigures 的数据,包含 AppMetrica SDK 的应用程序的总安装量为数亿。”
我们已经从规避苹果 App 跟踪透明度隐私要求的尝试中了解到,大量听起来无害的数据可以被组合成数字签名,从而与个人设备联系起来。网站使用的方法也可以被应用程序的 API 使用。