Отказав Android-приложению в разрешении отслеживать свой телефон, вы, скорее всего, будете уверены, что ваши данные не используются. Однако это не так – оказывается, тысячи приложений находят способ обмануть систему разрешений Android и отправляют на свои серверы уникальные идентификаторы устройств и другие данные, позволяющие раскрыть местоположение смартфонов.
Даже если в ответ на запрос разрешения на просмотр личных данных вы ответите «нет», этого может оказаться недостаточно: другое приложение, уже обладающее таким разрешением, может передавать ваши данные или помещать информацию в общее хранилище, доступное, в том числе, для вредоносных программ. На первый взгляд, передающие друг другу информацию приложения между собой никак не связаны, однако, как оказалось, все они были созданы с использованием одного и того же набора средств разработки (SDK), следовательно, они могут получать доступ к одинаковым данным и передавать их разработчикам SDK. Данный процесс можно сравнить с ребенком, выпрашивающим сладкое – если один из родителей говорит ему «нет», ребенок идет к другому.
Согласно исследованию, представленному на конференции PrivacyCon 2019, речь идет о приложениях наподобие Samsung и Disney, которые загружались пользователями сотни миллионов раз. Команда ученых из канадского Университета Калгари, испанского института IMDEA Networks и американского Университета Калифорнии исследовала около 88 тысяч приложений из Google Play и выяснила, что более тысячи из них продолжают собирать информацию даже при прямом запрете пользователя.
Все эти приложения используют пакеты SDK, созданные китайской поисковой системой Baidu совместно с аналитической компанией Salmonads и способные передавать данные от одного приложения другому (а также на серверы), предварительно помещая их в общее хранилище на смартфоне. Ученые заметили, что некоторые приложения, использующие SDK Baidu, могут пытаться незаметно завладеть этими данными, чтобы использовать их в собственных целях.
В ходе исследования ученые также обнаружили несколько уязвимостей побочных каналов, некоторые из которых могут отправлять на сервер уникальные MAC-адреса маршрутизаторов, информацию о точках доступа беспроводной сети, идентификатор сети SSID и многое другое.
В частности, в исследовании упоминается приложение Shutterfly, отправляющее GPS-координаты пользователей на серверы без получения разрешения на отслеживание местоположения — данные берутся из EXIF-метаданных фотографий. Стоит отметить, что со своей стороны, представители Shutterfly отрицают несанкционированный сбор данных.
По словам ученых, сообщивших в Google об обнаруженных уязвимостях в сентябре прошлого года, в версии Android Q, выход которой запланирован на третий квартал этого года, некоторые из проблем будут исправлены. Однако это никак не поможет множеству пользователей более ранних версий Android, не планирующих обновляться до версии Android Q (по данным на май 2019 года, только на 10,4% устройств была установлена последняя версия Android P, при этом более 60% продолжают работать на уже почти трехлетнем Android N).
Ученые считают, что Google необходимо предпринять дополнительные шаги, одним из которых может быть запуск дополнительных пакетов исправлений для существующих версий Android, поскольку защиту должны получить не только новые пользователи.
Google никак не комментирует обнаруженные уязвимости, однако подтверждает, что в версии Android Q геолокация не будет использоваться по умолчанию в приложении Фото.