微博、Facebook 均中招!美国 AI 公司伪造 APP 获取用户隐私数据

新闻 应用安全
技术的两面性早已无需证伪。用户在享受互联网技术带来的好处之时,也陷入了个人信息被收集的窘境。近期,人工智能公司 Banjo 就被曝光以一己之力,获取了全球多个社交媒体资源。

 本文转自雷锋网,如需转载请至雷锋网官网申请授权。

技术的两面性早已无需证伪。用户在享受互联网技术带来的好处之时,也陷入了个人信息被收集的窘境。

近期,人工智能公司 Banjo 就被曝光以一己之力,获取了全球多个社交媒体资源。

秘密创建公司,用不同的应用程序获取资源

据外媒 VICE 报道,人工智能公司 Banjo 秘密创建了一家名为 Pink Unicorn Labs 的公司,借以后者的名义开发多个 Android 和 iOS 应用程序获取社交媒体资源。

Pink Unicorn Labs 开发的 APP 包括 One Direction Fan APP、EDM Fan APP、Formula Racing APP。从程序代码可知,被获取资源的社交媒体包括新浪微博、Facebook、Twitter、Instagram、VK(俄罗斯社交媒体)、FourSquare、Google Plus 等。

据了解,APP 打开时会向“pulapi.com”域(雷锋网(公众号:雷锋网)按,可能指向 Pink Unicorn Labs)发送网络请求,不过,由于提供 APP 响应的站点已被关闭,因此目前未能明确 APP 抓取媒体资源的具体办法。

不过,VICE 了解到,用户登录 APP 时会被要求获取多个权限,包括获取当前位置、创建账户并设置密码、以及查找当前设备上的账户。在运行过程中,APP 会偷偷保存的用户登录多种社交平台的帐号信息并发送给 Banjo 备用,或者直接在应用中利用帐号信息抓取社交平台上的信息。

据 Banjo 前员工透露,这些 APP 有大量的 OAuth 服务提供商,用户进入网站或应用程序时不必创建新用户,可以凭借已建立的社交媒体账号登陆。另外,公司还通过匿名使用一个名为 Tor 的互联网网络进行工作,以此来避免 IP 地址的识别。

Android 应用程序存档网站上的记录显示,Android 版的三个 APP 均有至少 5000 到 100,000 个用户安装基础。iOS 版的下载量尚不清楚。

[[318124]]

雷锋网注:图源 Facebook

尽管 Pink Unicorn Labs 是秘密成立,但仍有多个线索显示与 Banjo 有关。Pink Unicorn Labs 的商业记录显示,公司是由 Banjo 首席执行官 Damien Patton 注册成立的,并且,两家公司有着相同的注册地点。另外,据 Banjo 前员工透露,Pink Unicorn Labs 项目的工作地点为 Banjo 办事处。

不仅如此,VICE 还从应用程序代码发现了二者的联系。在 Android 应用程序代码中,都包含了指向 Banjo 网站的 Web 链接。

曾与美国州政府达成合作

Banjo 是一个高度可视化的应用程序和网站,由 Damien Patton 和 David J. Phillips 在 2011 年创建。

Banjo 通过收集来自 Instagram、Twitter、Facebook、Google Plus 等社交媒体的公共地理标记内容,根据地点、时间和内容进行索引,为用户提供了获取突发新闻和实时事件的所有通道。

截至 2016 年,Banjo 获取信息的公共社交媒体账号超过了 12 亿个。

2019 年 2 月,Banjo 与 The Park City 警察局开展合作,为后者提供 AI 技术,警方能够利用 Banjo 的技术追踪袭击、肇事逃逸事故和入室盗窃的嫌疑人。

微博、Facebook 均中招!美国 AI 公司伪造 APP 获取用户隐私数据

雷锋网注:图为 Banjo 与犹他州合同截图

2019 年 7 月,Banjo 与美国犹他州签订了为期 5 年,价值 2070 万美元的合同。犹他州向 Banjo 提供交通摄像头,CCTV 和“公共安全”摄像头,911 应急系统,国有汽车的位置数据以及其他敏感数据的实时访问权。

Banjo 方面则是将这些数据与其从社交媒体或其他应用程序中收集到的信息相结合,向警方提供关于犯罪信息的实施情报,帮助确定犯罪行为。

不过,Banjo 得到的权限和信息采集的做法引起了人们对数据泄漏以及隐私权的担忧。对此,Banjo 曾表示会从其系统中删除所有个人数据,但目前尚不清楚 Banjo 将如何执行,以及是否已经执行。

Banjo 尚无回应

VICE 报道指出,Banjo 获取社交媒体资源事件可能涉及滥用访问应用程序权限的问题。对此,多个社交媒体作出了回应。

Twitter 发言人表示,该公司没有关于 Pink Unicorn Labs 示例的“积极证据”。不过,Twitter 在电子邮件中提到,基于对 Banjo 公司的了解,在 2017 年曾对 Banjo 的违规行为进行强制性限制。由此,一旦看到类似滥用 OAuth 令牌的案例,就会积极采取行动。

Facebook 在电子邮件中回应道,Facebook 禁止获取用户数据的行为,目前正在调查阶段,并将采取适当行动。同时,Facebook 还表示,Banjo 不再有权访问 Facebook 的 API。

在应用商店方面,Google 回应称,Pink Unicorn Labs 的应用在 2016 年就在 Google Play 商店中下架了,但 Google 并未阐明是 Pink Unicorn Labs 自行下架还是 Google 强制移除。

另外,苹果方面尚未作出回应。

更重要的是,对于 VICE 方面提出的事实信息,Banjo 方面也尚未进行回应。

参考资料:

  1. https://www.vice.com/en_us/article/k7exem/banjo-ai-company-utah-surveillance-panopticon

  2. https://www.vice.com/en_us/article/z3bgky/banjo-ai-used-secret-company-and-fake-apps-to-scrape-facebook-twitter

 

责任编辑:张燕妮 来源: 雷锋网
相关推荐

2020-06-04 11:51:09

数据泄露暗网信息安全

2022-06-02 15:17:17

iOS隐私苹果

2013-04-24 14:23:58

信息泄露个人隐私

2014-12-03 12:50:12

隐私安全隐私数据Uber

2021-12-26 09:20:41

APP权限移动应用

2013-08-01 00:00:00

Facebook用户隐私XKeyscore

2020-07-01 07:45:55

数据安全印度删除中国软件

2017-05-06 23:52:15

2022-01-11 16:30:06

Facebook隐私数据收集

2019-02-20 09:10:19

App京东金融 隐私

2013-03-25 16:52:26

2021-03-16 09:55:47

软件信息安全数据

2016-12-15 18:15:36

抢票软件隐私安全

2018-08-14 11:19:19

2019-10-09 09:30:25

AI 数据人工智能

2010-05-06 10:41:07

Facebook网站故障隐私

2013-06-06 15:13:22

2010-06-18 09:14:46

新浪网微博故障清零

2022-11-29 14:17:27

2016-11-14 13:50:56

点赞
收藏

51CTO技术栈公众号