Специалисты из Северо-западного университета и Калифорнийского университета в Санта-Барбаре решили проверить, действительно ли мобильные приложения следят за пользователями, подслушивают и подсматривают.
Изучив поведение 17 260 приложений для Android, исследователи пришли к выводу, что приложения не используют доступ к камерам и микрофонам устройств для скрытой слежки за владельцами гаджетов. Тем не менее, иногда они могут делать снимки экрана и загружать их на удаленные серверы.
В общей сложности специалисты проанализировали поведение 15 627 приложений, взятых из Google Play Store, и приложения из сторонних каталогов: 510 приложениях из AppChina, 528 приложений из Mi.com, а также 285 приложений с портала Anzhi.
Исследователи проверяли, какие приложения и как часто запрашивают права доступа к камере и микрофону устройства. Код каких приложений содержит вызовы функций API, специфические для сбора мультимедийных данных (обращения к Audio API, Camera API, Screen Capture API). Также устанавливалось, были ли эти API reference’ы прописаны в код авторами самого приложения, или же являлись продуктом работы сторонних библиотек, которые использует приложение.
Как оказалось, лишь малое количество приложений действительно используют имеющийся у них доступ к камере и микрофону устройства по назначению. Впрочем, специалисты предупреждают, что потенциальный риск все равно велик, ведь разработчики в любой момент времени могут обновить свой продукт, и ранее неиспользуемыми правами может воспользоваться сторонний код, который был добавлен в приложение.
«Более того, сторонний код, не имеющий прав на использование мультимедиа в одной версии приложения, затем может не по назначению воспользоваться правами, выданными будущим версиям приложения», — пишут исследователи.
Среди 17 260 изученных приложений специалистам удалось обнаружить лишь 21 приложение, которое записывало и передавало вовне мультимедийные данные. 12 из них либо передавали данные в виде простого текста (HTTP), либо из-за ошибок в коде делали снимки экрана устройства и загружали их в сеть. Оставшиеся 9 приложений загружали изображения на облачные серверы для редактирования, однако не информировали об этом пользователей, что тоже рассматривается как утечка.
Хотя специалистам фактически не удалось обнаружить приложений, которые используют камеры и микрофоны для слежки за людьми, исследователи предупреждают, что не менее серьезной угрозой является использование сторонних библиотек. Как уже было сказано выше, такие библиотеки могут начать использовать давно полученные приложением права в своих целях. Из-за этого специалисты считают, что разработчикам Android стоит запретить сторонним библиотекам использовать функции «материнских» приложений без разрешения.
«Так, [сторонние библиотеки] могут использоваться для захвата экрана приложения, в которое их встроили. Для этого им не нужны отдельные разрешения. Приложения часто отображают конфиденциальную информацию, и такое поведение грозит пользователям незаметным, скрытым мониторингом со стороны третьих лиц», — резюмируют специалисты.
