Тысячи приложений для Android умеют обходит запреты на доступ к личной информации
Люди верят, что если запретить очередному загруженному приложению доступ к личной информации, то у него не будет возможности добраться к данным. Однако далеко не факт, что так происходит на самом деле.
Исследователи говорят, что тысячи приложений нашли способы обмануть систему разрешений Android, используя уникальный идентификатор устройства и определенное количество данных, чтобы потенциально раскрыть местоположение пользователя. Об этом сообщает Информатор Tech, ссылаясь на сайт Федеральной торговой комиссии США.
Даже если вы скажете «нет» одному приложению, то второе приложение с утвержденными вами разрешениями может поделиться битами информации с другим или оставить их в общем хранилище, где все это может прочитать другое приложение - возможно, даже вредоносное. Эти два приложения могут быть даже не связаны между собой, но исследователи говорят, что, поскольку они созданы с использованием одних и тех же комплектов разработки программного обеспечения (SDK), они могут получить доступ к этим данным, и есть свидетельства того, что владельцы SDK получают их.
Согласно исследованию, представленному на PrivacyCon 2019, это больше всего касается приложений от Samsung и Disney, которые были загружены сотни миллионов раз. Они используют SDK, созданные китайским поисковым гигантом Baidu и аналитической фирмой Salmonads, которые могут передавать ваши данные из одного приложения в другое (и на их серверы), предварительно сохраняя их локально на вашем телефоне. Исследователи увидели, что некоторые приложения, использующие SDK Baidu, могут спокойно получить эти данные для собственного использования.
В дополнение к ряду уязвимостей побочных каналов, которые обнаружила команда, некоторые из них могут отправлять уникальные MAC-адреса вашего сетевого чипа и маршрутизатора, точки беспроводного доступа, SSID и многое другое. «Сейчас известно, что это довольно хороший заменитель данных о местоположении», - сказал Серж Эгельман, директор по исследованиям в группе Usable Security and Privacy Group Международного института компьютерных наук (ICSI), представляя исследование на PrivacyCon.
В исследовании также упоминается приложение для фото Shutterfly. Оно отправляет фактические координаты GPS обратно на свои серверы без получения разрешения для отслеживания местоположения, путем сбора этих данных из метаданных EXIF?? ваших фотографий. Хотя компания отрицает, что собирает эти данные без разрешения. Исследователи утверждают, что некоторые из этих проблем удастся исправить в Android Q, который будет оповещать об уязвимостях. Тем не менее, это может не помочь многим телефонам Android текущего поколения, которые не получат обновление последнюю версию Android.
Исследователи полагают, что Google должен сделать больше для защиты данных пользователей. Возможно, внедрить исправления в обновлениях для системы безопасности. «Google публично заявляет, что конфиденциальность не должна быть предметом роскоши, но, похоже, именно это и происходит», - сказал Эгельман. Google, в свою очередь подтвердила, что Android Q по умолчанию будет скрывать информацию о геолокации из фотоприложений.
Раннее мы сообщали о том, что пользователи Mac могут быть объектом слежки через приложение Zoom. Компания заявляет, что настроит приложение, начиная с июля. Также делились тем, как установить приложение для Android, которых нет в Google Play.
Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.