Wydawać by się mogło, że odmowa na dostęp do prywatnych danych w systemie Android faktycznie działa i zapewnia kontrolę nad informacjami. Nie do końca. Badacze odkryli, że ponad 1000 aplikacji jest w stanie obejść restrykcje i uzyskać dostęp do lokalizacji użytkownika oraz innych informacji. International Computer Science Institute (ICSI) odnalazło aż 1350 aplikacji w sklepie Google Play, które zbierają informacje z telefonów, nawet jeśli użytkownicy odmówili im dostępu. Odkrycie zaprezentowano podczas PrivacyCon, konferencji na temat bezpieczeństwa organizowanej przez Federalną Komisję Handlu. Analitycy przyjrzeli się 88000 aplikacjom na Androida, sprawdzając ich dostęp do danych, kiedy nie mają do nich uprawnień. Badania ujawniły, że ponad 1300 aplikacji posiada możliwość wydobywania lokalizacji zapisanej w metadanych zdjęć oraz z połączeń Wi-Fi.
Nazwy 1325 aplikacji na Androida, które zbierały dane osobowe bez pozwolenia ujawnione zostaną w sierpniu. Wśród nich jest m.in. Health Samsunga.
Serge Egelman, dyrektor ICSI poinformował podczas konferencji, że Google zostało powiadomione o problemie we wrześniu ubiegłego roku. Firma oświadczyła, że luki te zostaną załatane dopiero wraz z nadejściem Androida Q. Google lepiej ukryje informacje o lokalizacji ze zdjęć oraz będzie wymagać udzielenia osobnych uprawnień do lokalizacji aplikacjom, które korzystają z połączeń Wi-Fi. „Zasadniczo konsumenci mają bardzo niewiele narzędzi i wskazówek, które mogą wykorzystać do racjonalnego kontrolowania swojej prywatności i podejmowania decyzji w tej sprawie. Jeśli twórcy aplikacji mogą po prostu obejść system, wówczas proszenie konsumentów o pozwolenie jest całkiem bezsensowne” powiedział Serge Egelman. Inne aplikacje zbierają dane osobowe z innych aplikacji, które otrzymały pozwolenie na ich uzyskanie. Aplikacje uzyskują dostęp do danych osobowych z niezabezpieczonych plików na karcie SD, gdzie są przechowywane przez inne aplikacje z przyznanymi uprawnieniami. Podczas gdy raport mówi, że tylko 13 aplikacji na Androida wykorzystało tę technikę do kradzieży danych osobowych, to aplikacje te zostały zainstalowane ponad 17 milionów razy.
153 aplikacje są ponadto stanie dokonać takiej kradzieży, w tym aplikacje Health oraz Przeglądarka Internetowa firmy Samsung, które są zainstalowane na ponad 500 milionach urządzeń. Wśród danych osobowych, które mogą zostać skradzione tą metodą, znajduje się m.in. unikalny numer IMEI, czy numer MAC, który może zidentyfikować kartę sieciową w urządzeniach Wi-Fi. Jako przykład, jak te obejścia uprawnień są stosowane w prawdziwym życiu, pokazano, że aplikacja do publikowania obrazów Shutterfly pobierała współrzędne GPS ze zdjęć i wysyłała te dane do swoich serwerów, nawet jeśli użytkownik nie udzielił aplikacji zezwolenia na uzyskanie danych o lokalizacji. Rzeczniczka aplikacji zaprzeczyła temu i powiedziała, że program zbiera dane o lokalizacji tylko za zgodą użytkownika. Egelman ujawni nazwy 1325 aplikacji na Androida, które zbierały dane osobowe bez pozwolenia. Stanie się to w przyszłym miesiącu, kiedy ponownie przedstawi raport, tym razem na konferencji Usenix Security.
Pokaż / Dodaj komentarze do: Ponad 1300 aplikacji na Androida omija ograniczenia i wykrada dane