Якщо на питання «чи надати програмі доступ до геопозиції мого телефону» ви відповісте «ні», то напевне очікуєте, що цей додаток не зможе за вами стежити. Але дослідники стверджують, що тисячі додатків знайшли спосіб обійти захист Android, маючи лише номер унікального ідентифікатора вашого смартфона. Виявляється, що цього достатньо, щоб розкрити розташування телефона.

Навіть якщо ви забороняєте одному з додатків переглядати ваші персональні дані, цього буде недостатньо. Інший додаток, що має такі дозволи, може поділитися ними або завантажити до спільного сховища, де інша програма зможе їх отримати.

Такі додатки можуть бути і не пов’язані між собою, але оскільки вони створені за допомогою тих самих комплектів програмного забезпечення (SDK), то можуть отримати доступ до однакових даних.

Щоб зрозуміти, як працює обхід безпеки, уявіть дитину, що просить десерт. Коли один з батьків відмовляє, дитина питає в іншого.

Дані збирали навіть Samsung і Disney

Згідно з дослідженням, представленим на PrivacyCon 2019, додатки Samsung і Disney, які були завантажені сотні мільйонів разів, використовують SDK, створені китайським пошуковим гігантом Baidu і компанією Salmonads. Ці додатки могли передавати дані користувачів з однієї програми до іншої, а також завантажували їх на свої сервери, зберігаючи копію даних локально — на смартфонах користувачів. Дослідники з’ясували, що деякі програми, які використовують Baidu SDK, можуть легко отримати ці дані для власного використання.

На додачу до цих вразливостей, деякі програми можуть зберігати на своїх серверах унікальні MAC-адреси мережевого чипа смартфона й маршрутизатора, дані точки бездротового доступу, SSID телефона й багато іншого.

Наприклад, додаток Shutterfly, не маючи доступу до координат GPS, збирає ці дані з EXIF-інформації фото на смартфоні, хоча компанія заперечує, що збирає їх без дозволу.

Якщо у вас Android – треба оновити

У новій версії операційної системи Android Q деякі з цих проблем вже виправлені, стверджують дослідники. Однак смартфони без оновлення і досі під загрозою. Станом на травень 2019-го лише 10,4% пристроїв Android оновилися до останньої версії Android P, а понад 60% все ще працюють на Android N, який вийшов три роки тому.

У Google відмовилися коментувати знайдені вразливості, але пояснили, що Android Q приховуватиме інформацію про геолокацію від додатків, що не мають на це дозволів.

Засновник і керівник видання Tokar.ua. Програміст, адміністратор української Вікіпедії.

Підтримайте Токар
50 грн.

10% середньостатистичної статті,
або ж пів дня роботи нашого сервера

Підтримати
Ось вона, нагода стати причетним до розвитку незалежних медіа!
Коменти