Власники Samsung постраждали від шахрайської програми з Google Play
Згідно зі звітом, представленим на PrivacyCon 2019, в магазині Google Play є понад 1 000 популярних застосунків, що як і раніше зберігають ваші особисті дані, навіть не попри те, що у них немає відповідних на це прав. В Android ви можете чітко вказати, що програмі не дозволено відстежувати ваш пристрій. Але дослідники виявили, що понад 1 000 програм змогла обійти цю відсутність доступу, щоб відстежувати унікальний ідентифікатор вашого пристрою. І, відповідно, зібрати більш ніж достатньо даних, щоб потенційно дізнатися ваше точне місцеперебування.
В рамках дослідження було проаналізовано понад 88 000 застосунків з магазину Google Play і відстежено, як дані з них передавалися, коли їм було відмовлено в певних дозволах. З’ясувалося, що 1 325 програм прямо порушили дозволи, використовуючи спеціальні обхідні шляхи. Вони приховували свій код для отримання особистих даних з таких джерел, як з’єднання Wi-Fi і метадані, що зберігаються на ваших фотографіях.
Як це відбувається
Дослідницька група виявила, що деякі застосунки на Android можуть використовувати дані, зібрані іншими програмами з отриманими дозволами. Оскільки вони були побудовані з використанням одних і тих же SDK, вони можуть отримувати доступ до цих даних через цей канал. Ці програми могли зчитувати незахищені файли на SD-картці пристрою та отримувати доступ до даних, до яких вони не мали дозволу. А також обходили потребу запитувати дозвіл.
CNET зазначає, що насправді цим займалися тільки 13 застосунків, але вони були встановлені понад 17 млн разів. До переліку входять такі програми, як Baidu для гонконгського Діснейленду і навіть деякі від Samsung. Більшість цих програм були створені з використанням SDK, розроблених китайською пошуковою компанією Baidu. В цілому 153 програми Android мають таку можливість, включно з програмами Samsung Health і Browser, які, як ми знаємо, встановлюються автоматично на всі телефони Samsung. За оцінками дослідників, вони виявлені на понад 500 млн пристроїв по всьому світу.
Проблема може залишитись невирішеною
Подробиці про 1 325 шкідливих застосунка, які виявили дослідники, будуть представлені на конференції Usenix Security в серпні. В Android 10 Q з’являться виправлення для цих вразливостей, про що повідомляє дослідницька група, яка передала свої висновки в Google ще у вересні 2018 року. Очевидно, що однією з найбільших проблем буде відсутність пристроїв, які отримають доступ до Android 10 Q в найближчі місяці. Невідомо, чи випустить Google будь-які виправлення для цієї проблеми і в майбутньому. Адже понад 60% смартфонів Android працюють під управлінням застарілої Android Nougat.