Группа исследователей выяснила, что тысячи приложений способны обойти систему разрешений Android и определить уникальный идентификатор устройства, а также получить достаточное количество данных, чтобы установить местоположение пользователя. Результаты своей работы они представили на PrivacyCon 2019.
Даже если пользователь отвечает отказом, когда приложение запрашивает разрешение на доступ к личным данным, этого может быть недостаточно. Если в другом приложении пользователь дал согласие, то оно может поделиться этими данными с теми приложениями, у которых такого доступа нет, или оставить их в общем хранилище, где другие приложения, в том числе вредоносные, могут их прочитать.
Хотя приложения могут не иметь ничего общего на первый взгляд, если они созданы с использованием одного и того же комплекта средств разработки (SDK), то они могут иметь доступ к этим данным, а владельцы SDK – получать их.
Среди таких приложений значатся программы от Samsung и Disney, скачанные сотни миллионов раз. Они используют комплекты средств разработки, созданные китайским интернет-гигантом Baidu и аналитической компанией Salmonads, которые могут передавать данные пользователей из одного приложения в другие (и на собственные серверы), изначально храня их локально на устройстве. Исследователи выяснили, что некоторые приложения, созданные на базе SDK Baidu, могут затем получать эти данные для собственного использования.
Помимо этого, исследователи также выявили ряд уязвимостей, некоторые из которых позволяют отправлять разработчикам такие данные, как уникальные MAC-адреса сетевого чипа, маршрутизатора и точки беспроводного доступа, SSID и многое другое. А эти сведения в настоящее время являются довольно хорошим заменителем данных о местоположении.
Согласно исследователям, некоторые из этих проблем уже решены в Android Q. Это было сделано после того, как учёные уведомили Google об уязвимостях в ОС в сентябре 2018 года. При этом они отмечают, что компании хорошо бы запустить эти улучшения в рамках обновлений безопасности для Android, чтобы защитить больше пользователей, а не только владельцев новых моделей смартфонов.
В Google отказались от комментариев по конкретным уязвимостям, но подтвердили, что Android Q будет по умолчанию скрывать геолокационную информацию от фотоприложений, а также будет требовать от разработчиков таких приложений, чтобы они сообщали Google Play, могут ли они получать доступ к метаданным о местоположении.