Приложения Android собирают данные пользователей даже после отказа в разрешении

Более 1,000 приложений Android собирают ваши данные без разрешения

Новое исследование показало, что более 1,000 приложений Android, доступных в Google Play Store, нарушили разрешения для кражи личных данных, таких как сообщения, журналы вызовов, фотографии и многое другое.

Исследователи из Международного института компьютерных наук UC Berkeley (ICSI), который провел исследование, протестировали 88,000 приложений из американского Google Play Store и обнаружили, что 1,325 приложений собирали информацию о данных геолокации и идентификаторах телефонов.

Связанные материалы - 10 лучших бесплатных приложений для Android

В исследовании, опубликованном на сайте Федеральной торговой комиссии (FTC), упоминается 153 приложения, включая Samsung Health, браузер Samsung, Shutterfly и приложение парка Disneyland в Гонконге, которые собирали данные без явных разрешений.

“Современные платформы смартфонов реализуют модели на основе разрешений для защиты доступа к чувствительным данным и системным ресурсам. Однако приложения могут обойти модель разрешений и получить доступ к защищенным данным без согласия пользователя, используя как скрытые, так и побочные каналы,” написали исследователи в обширном отчете.

“Побочные каналы, присутствующие в реализации системы разрешений, позволяют приложениям получать доступ к защищенным данным и системным ресурсам без разрешения; тогда как скрытые каналы позволяют общаться между двумя сговорившимися приложениями, так что одно приложение может делиться своими данными, защищенными разрешениями, с другим приложением, не имеющим этих разрешений. Оба представляют угрозу для конфиденциальности пользователей.”

Например, исследователи обнаружили, что Shutterfly – веб-сайт для обмена фотографиями, используемый для редактирования фотографий – собирает данные GPS с мобильных телефонов и отправляет их на свои серверы, независимо от того, разрешили ли пользователи или отказали приложению в доступе к данным о местоположении.

“Как и многие фотосервисы, Shutterfly использует эти данные для улучшения пользовательского опыта с такими функциями, как категоризация и персонализированные предложения продуктов, все в соответствии с политикой конфиденциальности Shutterfly, а также соглашением разработчика Android,” заявила компания в своем заявлении в ответ на исследование, уточнив, что она собирает данные GPS только у тех, кто дает на это разрешение.

В случае с Disneyland в Гонконге было обнаружено, что приложение использовало SD-карту как скрытый канал для хранения информации IMEI телефона. Хотя 13 приложений были найдены, использующими этот скрытый канал для получения информации IMEI, эти приложения были установлены более 17 миллионов раз.

“Количество потенциальных пользователей, на которых повлияли эти выводы, составляет сотни миллионов. Эти обманные практики позволяют разработчикам получать доступ к личным данным пользователей без согласия, подрывая конфиденциальность пользователей и вызывая как юридические, так и этические проблемы,” написали исследователи.

“Законодательство о защите данных по всему миру — включая Общий регламент по защите данных (GDPR) в Европе, Закон о конфиденциальности потребителей Калифорнии (CCPA) и законы о защите прав потребителей, такие как Закон о Федеральной торговой комиссии — требует прозрачности в практиках сбора, обработки и обмена данными мобильных приложений.”

Исследователи, которые сообщили о своих выводах в Google в сентябре прошлого года, говорят, что некоторые из них могут быть исправлены в предстоящей операционной системе Android Q, запланированной к выпуску в этом году. Это означает, что несколько пользователей старых смартфонов, которые не получат обновления Android Q, продолжат сталкиваться с этой проблемой, оставляя свои устройства уязвимыми.

Связанные материалы - Microsoft внедряет рекламу для установки своих других приложений в Android

“Раскрывая эти практики и делая наши данные публичными, мы надеемся предоставить достаточные данные и инструменты для регуляторов, чтобы они могли принимать меры по обеспечению соблюдения, индустрии для выявления и исправления проблем до выпуска приложений и позволить потребителям принимать обоснованные решения о приложениях, которые они используют,” сказали исследователи.

Исследователи предлагают, чтобы Google рассматривал эти проблемы конфиденциальности как серьезные уязвимости безопасности и необходимо обновить способ функционирования разрешений.

Также читайте - Лучший бесплатный антивирус для смартфонов Android