Согласно отчету, представленному на PrivacyCon 2019, в магазине Google Play существует более 1000 популярных приложений для Android, которые по-прежнему собирают ваши личные данные, даже не имея на это соответствующих разрешений.
В Android вы можете явно запретить приложению отслеживать ваш телефон. Проблема в том, что исследователи обнаружили, что более 1000 приложений для Android смогли обойти запрещенные разрешения, чтобы отслеживать уникальный идентификатор вашего устройства и по-прежнему собирать достаточно данных, чтобы потенциально получить ваше точное местоположение.
Исследование проанализировало более 88 000 приложений из магазина Google Play и отслеживало, как данные передавались из приложений после того, как им было отказано в определенных разрешениях. 1325 приложений открыто нарушали разрешения в Android, используя специальные обходные пути, скрытые в их коде, для получения личных данных из таких источников, как Wi-Fi соединения и метаданные, хранящиеся в ваших фотографиях.
Исследовательская группа обнаружила, что определенные приложения для Android могут фактически использовать данные, собранные приложениями с предоставленным доступом или разрешениями. Поскольку они были разработаны с использованием одних и тех же SDK, они могут фактически получать доступ к этим данным через этот канал.
Некоторые из этих приложений также смогли прочитать незащищенные файлы на SD-карте устройства и получить доступ к данным, к которым они не имели разрешения доступа, путем обхода.
CNET отмечает, что на самом деле этим занималось всего 13 приложений, но они были установлены более 17 миллионов раз. Список включает такие приложения, как приложение парка Hong Kong Disneyland от Baidu и даже некоторые от Samsung. Большинство этих приложений были созданы с использованием SDK, разработанных китайской поисковой компанией Baidu.
Всего обнаружено 153 приложения для Android с возможностью обхода SD-карты, включая приложения Samsung Health и Browser, которые, как мы знаем, автоматически устанавливаются на все телефоны Samsung. По оценкам исследователей, эти приложения установлены более чем на 500 миллионов устройств по всему миру.
Полные сведения о 1325 приложениях-нарушителях, обнаруженных исследователями, будут представлены на конференции Usenix Security в августе. Ожидаются некоторые исправления для этих уязвимостей с предстоящим выпуском Android Q, что отмечается исследовательской группой, передавшей свои выводы в Google еще в сентябре 2018 года.
Очевидно, что одной из самых больших проблем будет ограниченный доступ устройств к Android Q в ближайшие месяцы. Неизвестно, выпустит ли Google какие-либо экстренные исправления для этой проблемы в будущем — при этом более 60% телефонов Android работают на устаревшем Android Nougat.