Отчет: Android-приложения Baidu могли раскрывать данные

Исследователи Unit42, глобальной группы по анализу угроз в Palo Alto Networks, опубликовали исследование двух популярных приложений китайского технологического гиганта Baidu. Согласно сообщению в блоге, Unit42 обнаружил, что Baidu Maps и Baidu Search Box могут привести к утечке данных примерно 6 миллионов клиентов (в совокупности приложения были загружены 6 миллионов раз). Утечки данных и вредоносные приложения не являются чем-то новым для Google Play Store, хотя этот случай не свидетельствует о злом умысле со стороны Baidu. Baidu оспаривает результаты исследования, заявив в электронном письме TechGenix: «Мы не раскрывали и не разглашали какие-либо пользовательские данные» и что отчет Unit42 «не предлагает достаточно доказательств, чтобы доказать, что мы слили какую-либо собранную информацию».

Что касается отчета Unit42, то в рамках более масштабного расследования приложений Google Play Store было обнаружено, что Baidu Maps и Baidu Search Box собирают данные IMEI и IMSI. Это не является незаконным, но считается противоречащим лучшим практикам Android для уникальных идентификаторов. Согласно Unit42, информация, собранная Baidu Maps и Baidu Search Box, может использоваться киберпреступниками и правительственными шпионами для перехвата сообщений, а также для сбора конфиденциальных данных, записанных на устройстве пользователя.

Используя детектор шпионских программ с машинным обучением, Unit42 смог окончательно доказать, что данные IMEI и IMSI, собранные Baidu, были утеряны. Их анализ цитируется в следующем посте:

Чтобы привести пример утечки данных, наша система обнаружения шпионских программ на основе машинного обучения определила следующее сообщение от вредоносного ПО для Android UmengAdware SHA256: 49d7a7c4a2e6afe1feb3642f8aabe314f8c8fa156658e3f3bc0bf6926950d0c1 которое было отправлено на IP-адрес назначения в Китае (202[.]105) с адреса Android-приложение, выполняемое в нашей изолированной программной среде для вредоносных программ WildFire.

{“tiny_msghead”:1,”devinfolength”:167,”channel_token”:”036442386962228444241069682909576236472810696832741015194936″,”devinfo”: “tmAdvNNMC2M/thyyYqqBnk0qDitAGWECdUbycugQvIMM3lvdew/V0duYDaWD5edlacVoSVVZUp18 6SokwTjUs96F8aARRh+IlGEF78CRFfHSJRC/eSPHZglCMjrVcqmHKS0K+rJCh9Rh4kH5YqRskZVz cFIWOXlaRWRN3WCKPyBA1vpqa4ouNPzjSc5IzJBYNKjb6yKt6LRLosaaDlqar5rc12RDEA7micoU EDEnKWo=“,” крошечное сердце»: 1», «период»: 1800, «connect_version»: 2, «channel_type»: 3, «channel_id»: «3522064114212580475»}

Интересующие данные находятся в поле devinfo, как показано в выделенной части сообщения выше. После тщательного изучения содержимого сообщения и анализа нескольких приложений для Android мы определили, что источником сообщения является Android push SDK компании Baidu.

Google и Baidu были уведомлены о возможности утечки данных в конце октября. Хотя оба приложения были удалены из магазина Google Play, Baidu заявила, что приложения «не были удалены из магазина Google Play по результатам этого исследования», добавив: «Мы работали над обновлением приложения Baidu и карт Baidu в соответствии с рекомендациями Google. и два приложения уже вернулись в Google Play Store».