android apps

Разрешения на приложения для Android предназначены для того, чтобы контролировать количество данных, которые выдает ваше устройство. Если вы не хотите, чтобы приложение фонарика могло читать ваши журналы вызовов, вы должны отказать в таком доступе. Но даже когда вы говорите «нет», многие приложения находят выход: исследователи обнаружили более 1000 приложений, которые обходили ограничения, позволяя им собирать точные данные геолокации и идентификаторы телефонов за вашей спиной.

Это открытие показывает, насколько трудно оставаться в сети, сохраняя конфиденциальность, особенно если вы подключены к своим телефонам и мобильным приложениям. У технических компаний есть масса персональных данных о миллионах людей, в том числе о том, где они были, с кем они дружат и чем они интересуются.

Законодатели пытаются связать это с регулированием конфиденциальности, а разрешения приложений должны контролировать, какие данные вы передаете. Apple и Google выпустили новые функции для улучшения конфиденциальности людей, но приложения продолжают находить скрытые способы обойти эти средства защиты.

Исследователи из Международного института компьютерных наук обнаружили до 1325 приложений для Android, которые собирали данные с устройств даже после того, как люди явно отказали им в разрешении. Серж Эгельман, директор исследования безопасности и конфиденциальности в ИКСИ, представил результаты исследования в конце июня на конференции PrivacyCon Федеральной торговой комиссии.

«По сути, у потребителей очень мало инструментов и подсказок, которые они могут использовать, чтобы разумно контролировать свою конфиденциальность и принимать решения по этому поводу», — сказал Эгельман на конференции. «Если разработчики приложений могут просто обойти систему, то спрашивать у потребителей разрешение не имеет смысла».

Эгельман сказал, что исследователи уведомили Google об этих проблемах в сентябре прошлого года, а также FTC. Google сказал, что будет решать проблемы в Android Q, который ожидается в этом году.

По словам Google, обновление позволит устранить эту проблему, скрывая информацию о местоположении на фотографиях в приложениях и требуя, чтобы все приложения, имеющие доступ к Wi-Fi, также имели разрешение на данные о местоположении.

В ходе исследования было просмотрено более 88 000 приложений из магазина Google Play, которые отслеживали передачу данных из приложений, когда им было отказано в разрешениях. 1325 приложений, которые нарушили разрешения на Android, использовали скрытые в своем коде обходные пути, которые брали личные данные из таких источников, как соединения Wi-Fi и метаданные, хранящиеся на фотографиях.

Исследователи обнаружили, что приложение для редактирования фотографий Shutterfly собирало координаты GPS из фотографий и отправляло эти данные на свои собственные серверы, даже когда пользователи отказывались давать приложению разрешение на доступ к данным о местоположении.


Shutterfly
London, United Kingdom — September 29, 2018: Screenshot of the Shutterfly Photo Books mobile app from Shutterfly icon on an iPhone.

Представитель Shutterfly сказала, что компания будет собирать данные о местоположении только с явного разрешения, несмотря на то, что исследователи обнаружили.

«Как и многие фотоуслуги, Shutterfly использует эти данные для улучшения взаимодействия с такими функциями, как категоризация и персонализированные предложения продуктов, в соответствии с политикой конфиденциальности Shutterfly и соглашением для разработчиков Android», — говорится в заявлении компании.

Некоторые приложения полагались на другие приложения, которым было предоставлено разрешение на просмотр личных данных, а также их доступ для сбора идентификаторов телефонов, таких как ваш номер IMEI. Эти приложения будут считывать незащищенные файлы на SD-карте устройства и собирать данные, к которым у них нет прав доступа. Поэтому, если вы разрешите другим приложениям получать доступ к личным данным, и они будут хранить их в папке на SD-карте, эти шпионские приложения смогут получить эту информацию.

Исследователи утверждают, что, хотя этим занимались всего около 13 приложений, они были установлены более 17 миллионов раз. По словам исследователей, это включает в себя такие приложения, как приложение Baidu для гонконгского Диснейленда.

Исследователи обнаружили, что существует 153 приложения с такой возможностью, в том числе приложения Samsung Health и Browser, которые установлены на более чем 500 миллионах устройств.

Другие приложения собирали данные о местоположении, подключаясь к вашей сети Wi-Fi и выясняя MAC-адрес маршрутизатора. Они нашли это в приложениях, которые функционировали как интеллектуальные пульты дистанционного управления, которым не требовалась информация о вашем местоположении.

Эгельман сказал, что выпустит подробности со списком из 1325 приложений, обнаруженных исследователями, когда он представит исследование на конференции Usenix Security в августе.