Możliwe, że aż 1325 aplikacje na Androida uzyskują dostęp do danych o naszej lokalizacji i innych informacji bez pozwolenia

Chciałoby się pomyśleć, że zachowujemy na co dzień prywatność naszych danych osobowych, nie przyznając określonych uprawnień aplikacjom podczas ich pierwszego użycia. Najnowsze badania (zrealizowane za pośrednictwem serwisu CNET) pokazują jedna, że ponad 1000 aplikacji na Androida znalazło sposób na obejście odmówionych im uprawnień, co w efekcie umożliwiło im dostęp do informacji o lokalizacji i innych danych osobowych użytkowników. Międzynarodowy Instytut Informatyki (ICSI) twierdzi, że w sklepie Google Play aż 1325 aplikacji, które zbierają takie dane od użytkowników, pomimo że ci odmówili im na to zgody. Wyniki badania zostały ostatecznie zaprezentowane przy okazji eventu PrivacyCon, zorganizowanym w zeszłym miesiącu przez amerykańską Federalną Komisję Handlu (FTC).

Ogólnie rzecz biorąc, w badaniu przyjrzano się 88 000 aplikacjom na Androida i sprawdzono, w jaki sposób przetwarzają one dane w przypadku odmówienia im konkretnych uprawnień. Badanie wykazało, że aż 1325 aplikacji posiadało w swoim algorytmie kod nakazujący im pobieranie danych o lokalizacji z metadanych przechowywanych dla zdjęć i połączeń Wi-Fi. Serge Egelman, dyrektor ds. badań bezpieczeństwa i prywatności w ICSI, przedstawił wyniki badań na wspomnianej wyżej konferencji, kwitując, że Google został powiadomiony o tym fakcie we wrześniu ubiegłego roku. Firma podała do wiadomości w ramach riposty, że ​​upora się z tą kwestią wraz z wydaniem systemu operacyjnego Android Q, oczekiwanego w tym kwartale. Wraz z jego premierą, Google ma ukrywać informacje o lokalizacji na zdjęciach z aplikacji. System będzie dodatkowo wymagać, aby aplikacje współpracujące z Wi-Fi uzyskały pozwolenie na otrzymywanie danych o lokalizacji.

Zasadniczo konsumenci mają bardzo niewiele narzędzi i wskazówek, które mogliby wykorzystać do racjonalnego kontrolowania swojej prywatności i podejmowania decyzji w tej sprawie. Jeśli twórcy aplikacji mogą obejść system, wówczas proszenie konsumentów o pozwolenie jest stosunkowo bez znaczenia.” – Serge Egelman, dyrektor ds. badań bezpieczeństwa i prywatności w ICSI.

Inne aplikacje zbierają dane osobowe z innych aplikacji, które otrzymały pozwolenie na ich uzyskanie. Pozwolenie na dostęp do aplikacji uniemożliwia dostęp do danych osobowych z niezabezpieczonych plików na karcie SD, gdzie te są przechowywane przez inną aplikację, której to z kolei udzielono pozwolenia na ich pobranie. Podczas gdy raport mówi, że w próbie tylko 13 aplikacji na Androida wykorzystało tę technikę do kradzieży danych osobowych, aplikacje te zostały zainstalowane ponad 17 milionów razy i obejmują aplikację parku Baidu Hong Kong Disneyland. 153 aplikacje mogą to potencjalnie robić, w tym aplikacje Samsung Health i Browser, które są zainstalowane na ponad 500 milionach urządzeniach.

Wśród danych osobowych, jakie mogą zostać skradzione za pomocą tej metody, znajduje się unikalny numer IMEI słuchawki. Inne aplikacje łączą się z siecią Wi-Fi użytkownika w celu kradzieży danych o lokalizacji. Aplikacje te uzyskują numer MAC, który może następnie pomóc im zidentyfikować kartę sieciową w urządzeniach Wi-Fi. Raport zauważa, że ​​aplikacje używane jako inteligentne piloty często to robią, nawet jeśli nie ma uzasadnionego powodu, aby posiadały dane o lokalizacji użytkownika.

Nazwy tych 1325 aplikacji na Androida, które kradną dane osobowe, zostaną opublikowane w przyszłym miesiącu, a więc na ten moment nie ma jeszcze w kogo ciskać kamieniami.

Możliwe, że aż 1325 aplikacje na Androida uzyskują dostęp do danych o naszej lokalizacji i innych informacji bez pozwolenia

Nazwy tych 1325 aplikacji na Androida, które kradną dane osobowe, zostaną opublikowane w przyszłym miesiącu

Jako przykład tego, jak te obejścia są stosowane w prawdziwym życiu, raport zauważył, że aplikacja do publikowania zdjęć Shutterfly pobierała współrzędne GPS ze zdjęć i wysyłała te dane do swoich serwerów, nawet jeśli użytkownik nie udzielił aplikacji zezwolenia na pozyskiwanie danych o lokalizacji. Rzeczniczka aplikacji zaprzeczyła temu i powiedziała, że Shutterfly zbiera dane o lokalizacji tylko za zgodą użytkownika.

Podobnie jak wiele mobilnych dostawców usług fotograficznych, Shutterfly korzysta z tych danych, aby poprawić wrażenia użytkownika dzięki takim funkcjom jak kategoryzacja i spersonalizowane sugestie dotyczące produktów, wszystko zgodnie z polityką prywatności Shutterfly, a także umową programową Android.” – broni się Shutterfly.

Egelman mówi, że ujawni nazwy 1325 aplikacji na Androida, które zbierały dane osobowe bez pozwolenia. Stanie się to w przyszłym miesiącu, kiedy ponownie przedstawiony zostanie raport, tym razem na konferencji Usenix Security.

W dość mocno intrygującym splocie wydarzeń, jedno z majowych wydań dziennika The Wall Street Journal mówiło o tym, że spośród 80 aplikacji wymienionych w sklepie App Store pod nagłówkiem „Apps We Love”, 79 (czyli wszystkie oprócz jednej!) zawierało trackery innych firm, które gromadziły dane osobowe użytkowników iOS do celów reklamowych, analitycznych i marketingowych. Średnia aplikacja w tej grupie miała zainstalowane cztery takie trackery.

Tylko czas pokaże, jaka czeka nas w tej materii przyszłość.

 

 

Źródło: www.phonearena.com