На мероприятии PrivacyCon 2019 был предоставлен отчет, который сообщает о том, что в магазине Google Play присутствует более 1000 популярных приложений сохраняющие личные данные пользователей без их согласия.
На Android у каждого приложения есть свой список разрешений, которые они запрашивают у пользователей, например, на доступ к камере или СМС-сообщениям. Проблема заключается в том, что исследователи обнаружили более 1000 приложений для операционной системы Google, которые умеют обходить отсутствие доступа. Это позволяет им собирать личные данные, такие как уникальный идентификатор устройства. В совокупности все собранные данные могут помочь в определении точного местоположения пользователя.
В ходе исследования было проанализировано более 88 000 приложений из магазина Google Play, для того чтобы проследить, как данные собирались и передавались в случаях, когда у них отсутствовало разрешение. Было обнаружено 1325 приложений, которые напрямую игнорировали пользовательские разрешения, используя для этого различные обходные пути, в том числе и маскировку кода для получения метаданных о подключении Wi-Fi, а также из файлов с фотографиями.
Исследовательская группа обнаружила, что некоторые приложения для Android могут использовать данные, собранные другими приложениями, у которых есть доступ к определенным разрешениям. Они могли считывать незашифрованные файлы на SD-карте устройства.
CNET отмечает, что на самом деле этим занимались только 13 приложений, но они были установлены более 17 миллионов раз. В этот список входят приложения от китайской поисковой компании Baidu, а также некоторые приложения от Samsung.
В общей сложности 153 приложения для Android имеют такую возможно для доступа к сбору данных в обход разрешений, включая приложения Samsung Health и браузер Samsung Интернет, которые предустанавливаются на устройства корейской компании. Подробности о 1325 вредоносных приложениях, которые обнаружили исследователи, будут представлены на конференции Usenix Security в августе. В предстоящем выпуске Android Q появятся исправления уязвимостей. Об этом сообщает исследовательская группа, которая передала данные исследования в Google еще в сентябре 2018 года.
Очевидно, что одной из самых больших проблем во всей этой ситуации будет отсутствие большого количества устройств, которые получат Android Q в ближайшие месяцы. Неизвестно, выпустит ли Google исправление для предыдущих версий своей мобильной операционной системы. Стоит отметить, что на данный момент под управлением устаревшей версии Android Nougat находится более 60% устройств.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
