Более 1300 приложений для Android собирают данные пользователей без разрешения

На конференции PrivacyCon эксперты калифорнийского Международного института информатики представили доклад озаглавленный «50 способов слить ваши данные», в котором рассказали, что многие Android-приложения шпионят за пользователями даже в том случае, если им было прямо отказано в нужных для этого разрешениях.

Так, 1325 приложений, уставновленные на 500 000 000 устройств, в любом случае собирают информацию о геолокации, идентификаторы устройств и другие личные данные.

Для проведения исследования специалисты изучили более 88 000 приложений из каталога Google Play, протестировав их на Android Marshmallow и Android Pie. Как оказалось, более 1300 из них активно используют различные способы обходы системы разрешений в Android, что позволяет извлекать личные данные пользователей из таких источников, как метаданные фотографий, Wi-Fi-соединения и так далее.

К примеру, приложение для редактирования фотографий Shutterfly, собирает данные о местоположении устройства, извлекая координаты GPS из метаданных фотографий, и передает их на собственный сервер apcmobile.thislife.com. Это происходит даже тогда, когда пользователь прямо отказался предоставлять приложению разрешение доступ к данным о местоположении.

Еще 13 приложений, суммарно установленные более 17 000 000 раз, не стесняются собирать IMEI устройств. Это совсем не сложно, ведь идентификатор хранится на SD-карте, в общем хранилище без сложной защиты.

«Android защищает доступ к IMEI телефона с помощью READ_PHONE_STATE. Мы определили две сторонние онлайн-службы, которые используют различные скрытые каналы для доступа к IMEI», — пишут эксперты.

Согласно докладу, эту технику скрытого сбора данных также используют сторонние библиотеки, предоставленные двумя китайскими компаниями: Baidu и Salmonads. Так, сбором IMEI не брезгуют приложения Disney для Гонконга и Шанхая, приложение Samsung Health и браузер Samsung.

Как минимум 5 приложений были пойманы на использовании MAC-адресов точек доступа Wi-Fi, которые извлекают из кэша ARP, для определения местоположения пользователя. Также это позволяет разработчикам связывать друг с другом устройства, находящиеся в одной сети.

Исследователи уже проинформировали о своих находках инженеров Google и представителей Федеральной торговой комиссии США. К сожалению, в Google ответили, что проблемы, связанные с обходом механизмов разрешений, будут решены лишь в Android Q, выход которой состоится позже в этом году. В частности в новой версии ОС требуется специальное разрешение на доступ к IMEI и серийному номеру устройства. Также в Android Q будет реализована рандомизация MAC-адресов, а от функции /proc/net и вовсе было решено полностью отказаться.

Источник: Xakep

10 июля, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез информационной безопасности и кооперации в новом формате — конференция Coop Days IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера
17.09.2025
ИИ Microsoft захватывает Европу
16.09.2025
Max и «Магнит» тестируют «Цифровой ID»
16.09.2025
Образовательные учреждения стали меньше платить вымогателям
16.09.2025
ЦБТ: «Биометрический» курьер несёт ответственность вплоть до уголовной
16.09.2025
InfoWatch: Предприятиям ТЭК удалось переломить негативную тенденцию

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных