Тысячи Android-приложений могут отслеживать местоположение, несмотря на запрет

Группа исследователей выяснила, что тысячи приложений способны обойти систему разрешений Android и определить уникальный идентификатор устройства, а также получить достаточное количество данных, чтобы установить местоположение пользователя. Результаты своей работы они представили на PrivacyCon 2019.

Даже если пользователь отвечает отказом, когда приложение запрашивает разрешение на доступ к личным данным, этого может быть недостаточно. Если в другом приложении пользователь дал согласие, то оно может поделиться этими данными с теми приложениями, у которых такого доступа нет, или оставить их в общем хранилище, где другие приложения, в том числе вредоносные, могут их прочитать.

Хотя приложения могут не иметь ничего общего на первый взгляд, если они созданы с использованием одного и того же комплекта средств разработки (SDK), то они могут иметь доступ к этим данным, а владельцы SDK – получать их.

Среди таких приложений значатся программы от Samsung и Disney, скачанные сотни миллионов раз. Они используют комплекты средств разработки, созданные китайским интернет-гигантом Baidu и аналитической компанией Salmonads, которые могут передавать данные пользователей из одного приложения в другие (и на собственные серверы), изначально храня их локально на устройстве. Исследователи выяснили, что некоторые приложения, созданные на базе SDK Baidu, могут затем получать эти данные для собственного использования.

Помимо этого, исследователи также выявили ряд уязвимостей, некоторые из которых позволяют отправлять разработчикам такие данные, как уникальные MAC-адреса сетевого чипа, маршрутизатора и точки беспроводного доступа, SSID и многое другое. А эти сведения в настоящее время являются довольно хорошим заменителем данных о местоположении.

Согласно исследователям, некоторые из этих проблем уже решены в Android Q. Это было сделано после того, как учёные уведомили Google об уязвимостях в ОС в сентябре 2018 года. При этом они отмечают, что компании хорошо бы запустить эти улучшения в рамках обновлений безопасности для Android, чтобы защитить больше пользователей, а не только владельцев новых моделей смартфонов.

В Google отказались от комментариев по конкретным уязвимостям, но подтвердили, что Android Q будет по умолчанию скрывать геолокационную информацию от фотоприложений, а также будет требовать от разработчиков таких приложений, чтобы они сообщали Google Play, могут ли они получать доступ к метаданным о местоположении.

Источник: The Verge
subscribe

Подпишитесь на рассылку SearchEngines

— Статьи мировых экспертов

— Аналитические обзоры

— Важные новости

— Горячие темы с нашего форума

preview Почта Mail.ru отпишет пользователей от бесполезных рассылок 

Почта Mail.ru отпишет пользователей от бесполезных рассылок 

Алгоритмы почты Mail.ru научились анализировать и запоминать реакцию на письма. Почта определяет надоедливые рассылки, ориентируясь на предпочтения пользователей
preview Facebook возобновляет показ оценочного охвата для Custom Audiences

Facebook возобновляет показ оценочного охвата для Custom Audiences

Facebook сообщил, что снова начнёт показывать оценочный охват для Custom Audiences – спустя 16 месяцев с момента выявления уязвимости в этом инструменте
preview В Ауре появилась возможность оставлять ссылки в комментариях

В Ауре появилась возможность оставлять ссылки в комментариях

Команда новой социальной сети Яндекса Ауры продолжает совершенствовать функционал и добавляет новые возможности для удобства пользователей...
preview Instagram протестирует возможность скрывать комментарии от недоброжелателей

Instagram протестирует возможность скрывать комментарии от недоброжелателей

Instagram готовится к запуску нового теста, который позволит пользователям "незаметно" скрывать комментарии от недоброжелателей. В итоге они будут видны только отправителю
preview Одноклассники обновили дизайн мобильного приложения для iOS

Одноклассники обновили дизайн мобильного приложения для iOS

Одноклассники провели редизайн своего мобильного приложения для устройств под управлением iOS, убрав фирменный оранжевый цвет на второй план
preview В Яндекс.Браузере появился доступ к Заметкам

В Яндекс.Браузере появился доступ к Заметкам

Недавно в Яндекс.Браузере для Windows появилась боковая панель, которая упрощает доступ к закладкам, истории и другим сервисам Яндекса