道客优

　　近日雷锋网获悉，外媒 BuzzFeed News 调查发现，面向科技开发商和投资者的知名移动应用数据分析公司 Sensor Tower 利用 Android 和 iOS 端的 VPN 和广告拦截应用程序，秘密收集数百万用户的数据。

　　2015 年以来，Sensor Tower 至少推出了 20 个 Android 和 iOS 应用程序，在全球范围内的下载量超 3500 万次，并且在应用描述中并表明与 Sensor Tower 有关，也并未透露会向 Sensor Tower 提供用户数据。

　　提示用户安装根证书

　　雷锋网了解到，当安装完毕时，上述应用程序会提示用户安装根证书（雷锋网注：root certificate，即在密码学和计算机安全领域中未被签名的公钥证书或自签名的证书），允许发行商访问通过手机传输的所有流量和数据。

　　对此，杀毒软件 MalwareBytes 的 Android 分析师 Armando Orico 表示：

　　此外，BuzzFeed News 发现了这些应用程序包含由  Sensor Tower 的开发人员编写的代码，从而将它们与 Sensor Tower 联系起来。 Sensor Tower 的一名开发者也表示，开发了 Android 应用程序，其 GitHub 用户名是多个应用程序的代码。另一位 Sensor Tower 开发者也在个人网站称，他正在“研究非常棒的顶级机密 iOS 项目”。

　　不过，Sensor Tower 向 BuzzFeed News 解释，只收集匿名使用及分析数据，这些数据已集成到其产品中。开发者、投资者和发行商等只是通过这些应用的智能平台来跟踪其受欢迎程度、使用趋势和盈利能力。

　　Sensor Tower 移动分析总监 Randy Nelson 回应，出于竞争的考虑，没有披露这些应用的所有权：

　　雷锋网注意到，Randy Nelson 无法向媒体证明这些应用程序起初只是在打造广告拦截器。

　　多款应用已在 App Store、Google Play 下架

　　应用程序“不再可用”，通常是由于违规。

　　实际上，考虑到用户的信息安全问题，苹果和谷歌都限制了应用程序的根证书特权。而 Sensor Tower 的应用程序绕过了限制——在下载应用程序后，提示用户通过外部网站安装证书。

　　例如，如果 Luna VPN（Sensor Tower 的众多应用程序之一）用户添加广告拦截扩展，该应用程序会显示通知，提供在 YouTube 上拦截广告的功能，而根证书安装就是这样开始的。

　　因此，苹果发言人表示：

　　据悉，Google Play 商店曾有四款 Sensor Tower 旗下的应用程序——Free and Unlimited VPN、Luna VPN、Mobile Data 和 Adblock Focus。而在 App Store 的是 Adblock Focus 和 Luna VPN 两款。

　　在 BuzzFeed News 调查结果公布后，苹果下架了 Adblock Focus，谷歌下架了 Mobile Data。苹果和谷歌目前还在做进一步的调查。

　　via BuzzFeed News，雷锋网编译。