Мобильные приложения игнорируют запреты пользователей

Разработчики мобильных приложений идут на уловки, чтобы обойти запрет на доступ к пользовательским данным. Об этом говорится в докладе, представленном специалистами Международного института компьютерных исследований (International Computer Science Institute – ICSI) на конференции по проблемам защиты конфиденциальности, организованной Федеральной торговой комиссией США. Исследователи ICSI изучили более 88 тысяч приложений из магазина Google Play и установили, что 1325 из них собирают и передают информацию пользователей, даже если не имеют на это разрешения. К такой информации относятся уникальные идентификаторы пользовательских устройств, географические координаты сделанных фотоснимков, а в ряде случаев и идентификаторы используемых сетей wi-fi, MAC-адреса сетевых маршрутизаторов и т.д.

Как отметил директор направления прикладной безопасности ICSI Серж Эгельман, у пользователей мало инструментов для защиты своей конфиденциальности. Одним из них являются разрешения мобильным приложениям на доступ к тем или иным данным. Казалось бы, логично, что мобильному фонарику или калькулятору вовсе незачем знать, где находится пользователь и к какой сети wi-fi он подключен: это никак не может влиять на эффективность приложения. Поэтому эксперты призывают пользователей не давать приложениям доступ к данным, которые не требуются для их работы. Но, как выяснилось, это не решает проблему. Одной из самых распространенных уловок оказалась следующая: приложение может не иметь разрешения на доступ к данным, но те же данные сохраняются в виде файлов в памяти устройства другими приложениями, которым разрешен сбор информации - а доступ к таким файлам уже никак не ограничен, чем и пользуются «шпионящие» приложения.

Среди приложений, способных на такой несанкционированный доступ, есть, в частности, приложения от компаний Baidu и Samsung, установленные на десятки и даже сотни миллионов устройств. Предполагается, что проблема будет частично решена с выпуском операционной системы Android Q, выход которой ожидается во второй половине нынешнего года. Серж Эгельман пообещал раскрыть подробности исследования и обнародовать список из 1325 приложений, нарушающих запреты, на конференции по кибербезопасности Usenix, которая состоится в августе.

Источник: CNet