Специалисты уже неоднократно доказывали, что смартфоны подслушивают пользователей, а теперь ученые из США узнали, что «умные» телефоны еще и подсматривают. Для этого подтверждения специалисты из Северо-Западного университета и Калифорнийского университета в Санта-Барбаре проанализировали большое количество приложений из Google Play и других фирменных магазинов для Android-устройств. Анализ затронул свыше 16 тыс. мобильных программ.
Как оказалось, многие программы запрашивают доступ к мультимедийным ресурсам, а таким образом они видят галерею, но только некоторые пользуются этим, а еще меньше скрыто отправляют в интернет фотографии. Выяснилось, что некоторые программы могут делать скриншоты экрана пользователя и загружать их в интернет, но нет никаких доказательств того, что они получают доступ к камере или микрофону телефонов, чтобы шпионить за владельцами.
Всего исследовательская группа просмотрела 15 627 приложений из официального магазина Google Play, 510 приложений из AppChina, 528 приложений с Mi.com и 285 приложений с портала Anzhi. Ученые проанализировали код и поведение каждой программы, чтобы обнаружить, сколько приложений запрашивает разрешение на доступ к телефону и микрофону телефона; какие приложения включают код, который вызывает функции API, специфичные для мультимедийной коллекции (код, вызывающий аудио API, API-интерфейс камеры); соответствуют ли эти ссылки API (если они присутствуют) в коде разработчика приложения или в сторонней библиотеке, встроенной в приложение.
Исследование выявило несколько угрожающих рисков конфиденциальности в экосистеме приложений Android, в том числе у приложений, которые чрезмерно предоставляют свои медиа-разрешения, отметили авторы.
Хорошая новость заключается в том, что из 17 260 приложений, которые анализировали ученые, только 21 записало и отправило мультимедийные данные через свое сетевое соединение. В 12 приложениях информация стала доступна в виде открытого текста (HTTP), либо с помощью ошибок кодирования, которые сделали скриншоты экрана пользователя и загрузили его в интернет. Остальные девять утечек — это случаи, когда приложение загружает изображения на облачные серверы для целей редактирования, но специально не раскрывает это пользователям.
В целом количество утечек невелико по сравнению с анализируемым набором данных, и исследователи не обнаружили никаких признаков вредоносного поведения, например, тайной записи звука через микрофон или видео через разрешение камеры, а затем скрытной загрузки контента в сети, рассказывает «Комсомольская правда».
Но ученые предупреждают о других проблемах. Одной из них является увеличение использования стороннего библиотечного кода. В своей работе исследователи заявили, что большая часть риска связана в основном с сторонними библиотеками, которые часто злоупотребляют разрешением, которое приложение получает от пользователей.