Baidu-appar med 6 miljoner nedladdningar i USA visade sig läcka känslig användardata

0 Shares

Säkerhetsforskare från Palo Alto Networks har upptäckt att appar som produceras av det kinesiska företaget Baidu har läckt ut känslig information om användare.

Baidu sökruta och Baidu-kartor – som har laddats ner mer än sex miljoner gånger bara i USA – visade sig skicka information som MAC-adresser, telefonmodeller, IMSI och IMEI till en server i Kina. Forskarna varnade Google om aktiviteten för Android-appar som sedan togs bort från Play Store.

Baidu-apparna samlade in data från telefoner utan användarens samtycke, och typen av data som samlades in öppnade människor för att spåras online och riktas av cyberbrott. Palo Alto Networks säkerhetsforskare berättade för Google om sina resultat och meddelade Baidu själv. Google svarade genom att hämta apparna från sin butik den 28 oktober för “ospecificerade överträdelser”.

Förklarar sina resultat, säger Palo Alto Networks att bland de uppgifter som samlades in var:

Telefonmodell. Skärmupplösning. Telefonens MAC-adress. Carrier (telekomleverantör). Nätverk (Wi-Fi, 2G, 3G, 4G, 5G). Android-ID. IMSI (International Mobile Subscriber Identity). IMEI (International Mobile Equipment Identity).

Säkerhetsföretaget säger vidare:

Medan en del av denna information, såsom skärmupplösning, är ganska ofarlig, kan data som IMSI användas för att unikt identifiera och spåra en användare, även om den användaren byter till en annan telefon och tar numret. IMEI är en unik identifierare för den fysiska enheten och anger information som tillverkningsdatum och hårdvaruspecifikationer.

IMSI identifierar unikt en abonnent på ett mobilnät och är vanligtvis associerad med en telefons SIM-kort, som kan överföras mellan enheter. Båda identifierarna kan användas för att spåra och lokalisera användare inom ett mobilnätverk.

Baidu sökruta har sedan dess rensats upp och har dykt upp igen i Play Store. Baidu Maps kommer att få samma behandling och kommer snart att vara tillgängliga för Android-användare.

Bildkredit: roncivil / depositionsfoto

0 Shares