Več kot 1000 aplikacij za Android zbira podatke brez dovoljenja uporabnika - Android

Ko ob prvem zagonu aplikacije na Androidu določite, do česa bo aplikacija imela dostop in do česa ne (kontakti, SMS sporočila, koledar, lokacija itd.), upravičeno pričakujete, da bo to držalo in se ne bo samodejno spreminjalo.

Raziskovalna ekipa z Mednarodnega inštituta za računalništvo (ang. ICSI, International Computer Science Institute) pa je na letošnji konferenci PrivacyCon predstavila študijo, ki dokazuje, da so naša pričakovanja glede zasebnosti pogosto neutemeljena.

1325 aplikacij zbira podatke brez privoljenja

Android Q bo omogočal naprednejše upravljanje z dovoljenji za aplikacije. Vir: XDA Developers

V raziskavi so preučili 88 000 aplikacij iz Googlove spletne trgovine Play Store. Ugotovili so, da 1325 aplikacij zbira podatke o uporabniku in napravi kljub uporabnikovi zavrnitvi dostopa.

Eden od načinov prikritega zbiranja podatkov je, da aplikacija z zavrnjenim dostopom preprosto prebere shranjene podatke drugih aplikacij z dovoljenim dostopom, ki se nahajajo na SD kartici ali v notranji shrambi telefona. Pristop deluje tudi, če dveh aplikacij ni razvil isti razvijalec. Dovolj je, da temeljita na enaki razvojni različici programske kode.

Et tu, Samsung?

Zmožnost tovrstnega branja podatkov imajo tudi Samsungove privzete aplikacije, kot sta Browser in Health, saj temeljijo na razvojnih različicah programske kode kitajskega spletnega giganta Baidu. Poleg tega uporabljajo tudi programsko kodo analitičnega podjetja Salmonads, ki podatke prodaja oglaševalskim podjetjem.

Spet druge aplikacije so do podatkov o lokaciji dostopale tako, da so preko Wi-Fi povezave prepoznale MAC naslov usmerjevalnika, na katerega je povezana naprava, in podatke pošiljale na strežnike razvijalcev. Poleg tega so na strežnike pošiljale tudi podatke o imenu omrežja, kar je v kombinaciji z MAC naslovom usmerjevalnika dober nadomestek za točne podatke o lokaciji.

Kot posebnost so raziskovalci izpostavili tudi aplikacijo za fotografije Shutterfly, ki je pošiljala točne GPS koordinate naprave na strežnike razvijalecv kljub zavnitvi dostopa do podatkov o lokaciji naprave.

Aplikacija je podatke o lokaciji preprosto pridobila iz EXIF podatkov slik, med katerimi so zabeležene tudi koordinate, na katerih je nastala slika. Razvijalci aplikacije zanikajo zbiranje podatkov brez vednosti uporabnikov.

Q različica Androida bolj varna?

Google je bil seznanjen z rezultati raziskave, predstavniki pa zagotavljajo, da bodo tovrstni postopki zbiranja podatkov onemogočeni s Q različico operacijskega sistema Android. V njej bo aplikacijam privzeto sistemsko onemogočen dostop do podatkov o lokaciji naprave.

Raziskovalci menijo, da to ni dovolj, saj so proizvajalci telefonov tradicionalno počasni s posodibtvami različic Androida – kar 60 odstotkov vseh Android naprav še vedno teče na tri leta stari različici N.