Более 1300 приложений для Android собирают данные пользователей без разрешения

На конференции PrivacyCon эксперты калифорнийского Международного института информатики представили доклад озаглавленный «50 способов слить ваши данные», в котором рассказали, что многие Android-приложения шпионят за пользователями даже в том случае, если им было прямо отказано в нужных для этого разрешениях. Так, 1325 приложений, уставновленные на 500 000 000 устройств, в любом случае собирают информацию о геолокации, идентификаторы устройств и другие личные данные.

Для проведения исследования специалисты изучили более 88 000 приложений из каталога Google Play, протестировав их на Android Marshmallow и Android Pie. Как оказалось, более 1300 из них активно используют различные способы обходы системы разрешений в Android, что позволяет извлекать личные данные пользователей из таких источников, как метаданные фотографий, Wi-Fi-соединения и так далее.

К примеру, приложение для редактирования фотографий Shutterfly, собирает данные о местоположении устройства, извлекая координаты GPS из метаданных фотографий, и передает их на собственный сервер apcmobile.thislife.com. Это происходит даже тогда, когда пользователь прямо отказался предоставлять приложению разрешение доступ к данным о местоположении.

Еще 13 приложений, суммарно установленные более 17 000 000 раз, не стесняются собирать IMEI устройств. Это совсем не сложно, ведь идентификатор хранится на SD-карте, в общем хранилище без сложной защиты.

«Android защищает доступ к IMEI телефона с помощью READ_PHONE_STATE. Мы определили две сторонние онлайн-службы, которые используют различные скрытые каналы для доступа к IMEI», — пишут эксперты.

Согласно докладу, эту технику скрытого сбора данных также используют сторонние библиотеки, предоставленные двумя китайскими компаниями: Baidu и Salmonads. Так, сбором IMEI не брезгуют приложения Disney для Гонконга и Шанхая, приложение Samsung Health и браузер Samsung.

Как минимум 5 приложений были пойманы на использовании MAC-адресов точек доступа Wi-Fi, которые извлекают из кэша ARP, для определения местоположения пользователя. Также это позволяет разработчикам связывать друг с другом устройства, находящиеся в одной сети.

Исследователи уже проинформировали о своих находках инженеров Google и представителей Федеральной торговой комиссии США. К сожалению, в Google ответили, что проблемы, связанные с обходом механизмов разрешений, будут решены лишь в Android Q, выход которой состоится позже в этом году. В частности в новой версии ОС требуется специальное разрешение на доступ к IMEI и серийному номеру устройства. Также в Android Q будет реализована рандомизация MAC-адресов, а от функции /proc/net и вовсе было решено полностью отказаться.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (5)

  • Давайте еще поговорим о гугле тогда самом как сборщике данных. Я с товарищами час назад обсуждал способы ремонта асиков и до этого поста не гуглил за них, не открывал сайты с информацией о них. Даже слово "асик" использовал не я а собеседник... Окей гугл и прочая батареяпожирательнах хрень у меня удалена. Был свернут хром перед разговором а в ухе была гарнитура. Спустя время достаю телефон и читаю почту, открываю ссылку про распбери на хакере и мне внимание... Предлагают в банере асик.... Как же так случилось... Зуб даю, кроме микрофона сегодня негде ему было узнать что я с этими приборами связь имею. Волшебство.

    • Компания, зарабатывающая на рекламе. У неё в распоряжении свой браузер (+ куча клонов), свой почтовый сервер, своя мобильная ось (опять же, + куча клонов). И вы хотите ей что-то запретить? Кто ж в здравом уме, имея такой доступ, будет ограничивать себя? Других, да - следуйте выданным пользователем разрешениям.
      Не удивлюсь, если в скором времени, телефон прохожего уловит ваши слова, а потом на ваш телефон будет приходить реклама.

  • "1325 приложений" - а какие именно приложения? в статье эти цифры не нашел.

  • Не очень верится, что что-то изменится с выходом Android Q. Ну, не дал пользователь разрешение и что? Приложение не получит разрешение и просто закроется.

    Я пользуюсь одной программой, которая мне удобна - виджет для погоды (без рекламы). После одного из обновлений, она запросила доступ к телефонным звонкам. Казалось бы, зачем погодной программе звонки? Я не разрешил. И что дальше? Она просто не работала (точнее, не обновляла данные) и в один "прекрасный" день я был очень разочарован, что прогноз не совпал с реальностью - гололёд вместо солнечной погоды.

    К чему это я? Просто все эти ограничения бесполезны, если разработчики будут просто закрывать приложения или блокировать их основной функционал, если не получат желаемые права.

    Выход: искать альтернативы. А их не так много, особенно, если приложение специфичное или просто удобное по сравнению с аналогами. К тому же, нет гарантии, что аналоги не поступят так же.