Aplikacje na Androida mogą śledzić użytkowników smartfonów mimo nieudzielenia im uprawnień wymaganych przez ten system operacyjny – podał serwis The Verge powołując się na badania realizowane przez uniwersytety z USA i Hiszpanii we współpracy z firmą AppCensus.
Według prac naukowców zaprezentowanych podczas tegorocznej edycji konferencji PrivacyCon organizowanej przez amerykańską Federalną Komisję Handlu, tysiące aplikacji na Androida znajdują sposób na obejście odmowy udzielenia przez użytkownika pozwoleń na gromadzenie danych o jego urządzeniu.
Oprogramowanie może w ten sposób zyskiwać dostęp do danych takich, jak indywidualny numer identyfikujący urządzenia IMEI, a także np. do informacji o miejscach, w których przebywa jego użytkownik.
Aplikacje, którym osoby korzystające z telefonów z Androidem nie zezwoliły na śledzenie, mogą również czerpać dane dzięki komunikacji z innym oprogramowaniem zainstalowanym na tym samym smartfonie, które zgodę użytkownika na zbieranie danych uzyskało.
Badacze utrzymują, że oprogramowanie, które działa w ten sposób, to aplikacje wykorzystujące elementy kodu stworzone przez chiński koncern internetowy Baidu oraz firmę analityczną Salmonads. Dane zgromadzone przez aplikacje w pierwszej kolejności gromadzone są lokalnie na urządzeniu użytkownika, potem zaś – przesyłane na serwery dostawców oprogramowania. Programy, które korzystają z elementów kodu stworzonych przez Baidu, mogą również zdaniem ekspertów korzystać z danych na własny użytek.
Według autorów badania niektóre aplikacje mogą rejestrować dane tak wrażliwe, jak unikalne adresy MAC routerów i kart sieciowych, które użytkownik wykorzystuje podczas połączeń z sieciami, a także koordynanty GPS – jak to ma miejsce w przypadku aplikacji Shutterfly, która gromadzi te informacje na podstawie analizy danych EXIF z obrabianych w niej zdjęć.
Jednocześnie, jak informuje serwis Cnet, twórcy tej aplikacji stanowczo odpierają zarzut, jakoby miała ona rejestrować dane o użytkownikach bez ich wiedzy i zgody, a następnie przesyłać je na serwery firmy.
Autorzy opracowania zaprezentowanego podczas PrivacyCon twierdzą, że nowa wersja systemu Android Q pozwoli użytkownikom chronić się przed tego rodzaju praktykami. Specjaliści podkreślają jednocześnie, że może ona nie być dostępna dla wielu osób korzystających z urządzeń z Androidem zaraz po jej publikacji – wiele modeli telefonów otrzymuje aktualizacje systemowe z opóźnieniem, co zależne jest od ich producentów.
Zdaniem badaczy działania chroniące użytkowników przed tym, co w opinii naukowców klasyfikować należy jako podatności cyberbezpieczeństwa, podejmować powinna firma Google, m.in. przez dodatkowe aktualizacje zabezpieczające.
Firma Google odmówiła serwisowi The Verge skomentowania wniosków akademików, zaznaczyła jednak, że najnowsza wersja systemu Android Q będzie ukrywała dane geolokalizacyjne przed aplikacjami do obróbki zdjęć w ramach domyślnych ustawień. System będzie wymagał też od twórców tego rodzaju oprogramowania, aby przed umieszczeniem swoich aplikacji w oficjalnym sklepie Google Play deklarowali, czy oprogramowanie może gromadzić dane geolokalizacyjne. (PAP)
