Baidu xác nhận rằng ứng dụng tìm kiếm của họ và Baidu Maps đều đã bị xóa khỏi Google Play trên toàn cầu vào ngày 28-10. Baidu phủ nhận rằng các ứng dụng đã bị xóa theo kết quả nghiên cứu nhưng không đưa ra lý do xóa. Ứng dụng Baidu chính đã trở lại Google Play vào ngày 19-11 sau khi cập nhật và công ty cho biết Baidu Maps sẽ hoạt động trở lại vào đầu tháng 12.
Trong báo cáo của mình, Palo Alto Networks cho thấy các ứng dụng Baidu đang thu thập địa chỉ MAC, thông tin về nhà mạng và số IMSI từ điện thoại của người dùng. Sau đó là số nhận dạng duy nhất cho thuê bao của nhà cung cấp dịch vụ di động, được lưu trữ trên thẻ SIM. Điều này có nghĩa là số này có thể được sử dụng để theo dõi người dùng trên các thiết bị miễn là họ giữ cùng một đăng ký với cùng một công ty viễn thông, có thể cho phép tội phạm mạng hoặc các tổ chức nhà nước khai thác thông tin đó. Theo nghiên cứu, Baidu đã gửi thông tin đến một địa chỉ IP ở Trung Quốc.
Các nhà nghiên cứu cho biết trong báo cáo: “Dữ liệu bị rò rỉ khiến người dùng có thể theo dõi được, có khả năng trong suốt thời gian tồn tại của họ.”
Báo cáo cho biết Baidu và nhóm Android của Google đã được thông báo về những phát hiện và Google đã xác nhận chúng trước khi xóa ứng dụng. Baidu cho biết ứng dụng chính của họ đã được cập nhật theo nguyên tắc của Google.
Baidu nói trong một tuyên bố: “Thông tin tham chiếu mà Ứng dụng Baidu yêu cầu đã được sử dụng để kích hoạt chức năng đẩy, như được tiết lộ trong thỏa thuận bảo mật. Baidu rất coi trọng quyền riêng tư và bảo mật của người dùng và dữ liệu chỉ được sử dụng khi có sự cho phép của người dùng. Các vấn đề được báo cáo đã được giải quyết trong phiên bản ứng dụng mới nhất trước khi Đơn vị 42 của [Palo Alto Networks ’] tiếp cận để nghiên cứu.”
Mặc dù Baidu cho biết họ không còn thu thập dữ liệu nhạy cảm nữa, nhưng các nhà nghiên cứu của Palo Alto Networks lưu ý rằng việc thu thập số nhận dạng của Baidu, bao gồm số IMSI và địa chỉ MAC, không vi phạm chính sách của Google. Google chỉ đơn giản là không khuyến khích cách làm này trong hướng dẫn dành cho các nhà phát triển Android.
Google cũng không nêu rõ lý do xóa ứng dụng. Khi được hỏi, họ chỉ ra một tuyên bố trước đây đã đưa ra cho các nhà nghiên cứu.
“Chúng tôi đánh giá cao công việc của cộng đồng nghiên cứu và các công ty như Palo Alto Networks, những người làm việc để tăng cường bảo mật cho Cửa hàng Play. Chúng tôi mong muốn được hợp tác với họ để nghiên cứu thêm trong tương lai.”
Các nhà nghiên cứu cũng chỉ ra một ứng dụng khác của Trung Quốc được phát hiện đang thu thập thông tin cá nhân của người dùng. Homestyler đến từ một công ty có trụ sở tại Thượng Hải và có 5 triệu lượt tải xuống trong cửa hàng Google Play, nhưng Google chưa bao giờ xóa ứng dụng đó.