Приватност: Андроид апликации кои гледаат на корисниците без права

Datenschutz: Android-Apps spähen Nutzer ohne Rechte aus

Всушност, управувањето со правата на Google мора да спречи апликациите за Android да соберат податоци без согласност на нивните корисници. Сепак, истражувачите пронајдоа околу 1.300 популарни апликации кои не прифаќаат дека „не“ навистина значи „не“.

Истражувач Меѓународен институт за компјутерски науки испитување на околу 88.000 апликации за Android и објавување на резултатите (PDF). Се анализира во контролирано опкружување кое апликација треба да испраќа податоци до и дали треба да ги има овие информации според аранжманите за управување со правата.

Постапка и резултати

Истражувачите проверувале дали се пренесени IMEI, MAC адресата или локацијата. Било која од овие информации го прави возможно да се идентификува сопственикот како индивидуа и со тоа да се извршуваат нив подобро. За да се избегне управување со правата, можни се два начина. Апликациите или ги заобиколат безбедносните политики со изнаоѓање сценарија што не го опфаќаат или не штитат управување со правата (странични канали), или тајно добиваат информации од апликации кои ги имаат потребните права (Тајни канали).

Апликациите можат да пристапат до податоците на два начина (слика: Egelman et al (2019))

Севкупно, само 60 апликации беа фатени со црвени раце, но околу 15 проценти или скоро 13.000 апликации најдоа начини да ги заобиколат безбедносните политики во кодот и може да се користат, но или ги имаа потребните права или не ги активираа автоматските стапици на истражувачите. . Оваа категорија вклучува здравствени апликации на Samsung и прелистувачи за корпорации. Сепак, околу 1.300 апликации можат да соберат и пренесат податоци без потребните права.

Паметно snooping

Колекторот на страничен канал вклучува Shutterfly. Апликацијата за провајдер ја наоѓа локацијата на сопственикот со читање на геодетата EXIF ​​од сликата. Кинеската платформа за развивачи, Салмонади, користи скриени опции за да добиете податоци. Апликациите развиени со SDK можат да складираат IMEI, промотивни лични карти и MAC адреси на SD-картичката. Таму можат да бидат прочитани од сите други апликации, кои исто така имаат пристап до мобилна меморија.

Истата технологија ја користи Baidu. Меѓу другото, компанијата ја хранеше Апликацијата Дизниленд Дизниленд во Хонг Конг. Дваесет апликации кои примаат податоци на овој начин се преземени повеќе од 700 милиони пати. Исто така, голема пенетрација е постигната и од другите SDK кои користат податоци; Адресите MAC се пренесуваат активно за време на тестирањето од страна на апликацијата, кои заедно додаваат до 3,6 милијарди инсталации (не мора активни). Управувањето со правата е заобиколено, на пример, од OpenX SDK, давател на реклама, само трнлив откако системот негира пристап до бараните податоци затоа што корисникот не дал права. За комплетен список на апликации, истражувачите сакаат да ги објават на конференцијата за безбедност на Усеникс во август.

П се залага за „Qure“

Однесувањето на ваквите апликации е многу проблематично затоа што го оштетува управувањето со правата и де факто го прави бескорисно бидејќи апликацијата веќе не мора да бара права или да ги игнорира одлуките. Управувањето со правата само препорачува контрола во вакви случаи. Според законот, оваа постапка е клучна, би била во судир, меѓу другото, со европските одредби за заштита на податоците.

Гугл ги направи истражувачите свесни за јазот минатата есен. Исцелување носи но првиот Android Q, кој се очекува да биде објавен подоцна оваа година. Но, тоа не е крај на интересот. Барем во теорија, опишан е друг начин како апликациите можат да комуницираат едни со други. Замисливо е дека програмерите користат надворешни сервери или конкретно произведуваат кратки врвни опции, кои можат да се толкуваат како бинарен код. За оваа цел, сензорите за вибрации и забрзување исто така можат да бидат злоупотребени во теорија.