Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Mobilni telefoni, 10.07.2019, 03:00 AM

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa uređaja.

Bezbednosni model modernih mobilnih operativnih sistema, kao što su Android i iOS, prvenstveno se zasniva na dozvolama koje eksplicitno određuju kojim servisima ili korisničkim informacijama neka aplikacija može pristupati. Te dozvole daju korisnici na kojima je da odluče koje aplikacije im mogu pristupati.

Kada izričito kažete Android aplikaciji - "Ne, nemate dozvolu da pratite moj telefon", verovatno očekujete da ona neće imati mogućnosti da to radi. Ipak, u stvarnosti to nije tako.

Istraživanje (PDF) tima istraživača sa Međunarodnog instituta za računarske nauke u Kaliforniji otkrili su da programeri mobilnih aplikacija koriste skrivene tehnike za prikupljanje podataka korisnika čak i kada im korisnici uskrate dozvole.

Govoreći na skupu PrivacyCon, čiji je domaćin prošlog četvrtka bila Federalna trgovinska komisija, istraživači su predstavili svoja otkrića koja pokazuju kako više od 1300 Android aplikacija prikupljaju precizne podatke o geolokaciji korisnika i identifikatore telefona čak i kada oni eksplicitno odbiju tražene dozvole.

"Aplikacije mogu da zaobiđu model dozvola i dobiju pristup zaštićenim podacima bez saglasnosti korisnika koristeći i tajne i bočne kanale", tvrde istraživači.

Istraživači su pregledali više od 88000 aplikacija iz Google Play prodavnice, od kojih je za 1325 utvrđeno da krše sisteme dozvola u operativnom sistemu Android koristeći skrivena rešenja koja im omogućavaju da traže lične podatke korisnika iz izvora kao što su metapodaci sačuvani na fotografijama i Wi-Fi konekcijama.

Na primer, istraživači su pronašli aplikaciju za uređivanje fotografija, nazvanu Shutterfly, koja prikuplja podatke o lokaciji uređaja tako što izvlači GPS koordinate iz metapodataka fotografija koje koristi kao bočni kanal, čak i kada korisnici odbiju da daju aplikaciji dozvolu za pristup podacima o lokaciji.

"Primetili smo da aplikacija Shutterfly (com.shutterfly) šalje precizne geolokacijske podatke na vlastiti server (apcmobile.thislife.com) bez dozvole za lokaciju."

Treba napomenuti da ako neka aplikacija može da pristupi lokaciji korisnika, onda joj svi servisi treće strane ugrađeni u tu aplikaciju takođe mogu pristupiti.

Pored toga, istraživači su pronašli još 13 aplikacija sa više od 17 miliona instalacija koje pristupaju IMEI telefona, identifikatoru telefona, koje druge aplikacije čuvaju nezaštićenim na SD kartici telefona.

"Android štiti pristup IMEI telefona dozvolom READ_PHONE_STATE. Identifikovali smo dve online usluge trećih strana koje koriste različite prikrivene kanale da bi pristupili IMEI kada aplikacija nema dozvolu za pristup IMEI."

Prema istraživačima, biblioteke trećih strana koje nude dve kineske kompanije, Baidu i Salmonads, takođe koriste ovu tehniku kao tajni kanal za prikupljanje podataka iako nemaju dozvolu za pristup.

Neke aplikacije koriste MAC adresu Wi-Fi pristupne tačke da bi otkrile lokaciju korisnika. Aplikacije koje funkcionišu kao pametne daljinske kontrole, kojima inače ne trebaju informacije o lokaciji da bi funkcionisale, prikupljaju podataka o lokaciji na ovaj način.

"Pronašli smo 5 aplikacija koje koriste ovu ranjivost i 5 sa odgovarajućim kodom da to urade," pisali su istraživači.

"Pored toga, poznavanje MAC adrese rutera omogućava povezivanje različitih uređaja koji dele pristup internetu, što može otkriti lične odnose njihovih vlasnika ili omogućiti praćenje unakrsnih uređaja."

U svojoj studiji, istraživači su uspešno testirali ove aplikacije na Android Marshmallow i Android Pie.

Istraživači su svoja otkrića prosledili Googleu prošlog septembra, a kompanija je njihovom timu isplatila nagradu za odgovorno otkrivanje problema, ali nažalost, ispravke će biti objavljene sa izdanjem Androida K, koji se očekuje kasnije ovog leta.

Istraživači misle da bi Google trebalo da učini više, u smislu objavljivanja hitnih zakrpa u okviru sigurnosnih ažuriranja, jer po njihovom mišljenju ne bi trebalo da samo kupci novijih telefona dobiju zaštitu. "Google javno tvrdi da privatnost ne bi trebalo da bude luksuz, ali izgleda da je to ono što se ovde dešava", kažu istraživači.

Android K će rešiti probleme skrivajući podatke o lokaciji na fotografijama od aplikacija drugih proizvođača, kao i obavezujući aplikacije koje pristupaju Wi-Fi-u da imaju dozvolu za pristup podacima o lokaciji.

Do tada, korisnicima se savetuje da ne veruju aplikacijama i da isključe postavke dozvola za lokaciju i ID za aplikacije kojima one zapravo nisu potrebne da bi funkcionisale. Takođe, deinstalirajte svaku aplikaciju koju ne koristite redovno.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bankarski trojanac Faketoken šalje uvredljive SMS poruke sa zaraženih telefona

Bankarski trojanac Faketoken šalje uvredljive SMS poruke sa zaraženih telefona

Bankarski trojanac za Android uređaje Faketoken već dugo je prisutan - 2014. godine kada je prvi put primećen bio je, prema podacima kompanije Kas... Dalje

Više od 600 miliona korisnika instaliralo aplikacije koje posle isteka probnog perioda i deinstalacije naplaćuju korišćenje

Više od 600 miliona korisnika instaliralo aplikacije koje posle isteka probnog perioda i deinstalacije naplaćuju korišćenje

Istraživači kompanije Sophos kažu da su otkrili niz „fleeceware“ aplikacija koje je preuzelo i instaliralo više od 600 miliona Android... Dalje

Google iz Play prodavnice uklonio 1700 aplikacija zaraženih malverom Joker

Google iz Play prodavnice uklonio 1700 aplikacija zaraženih malverom Joker

Od 2017. skener Play Protect Google Play prodavnice otkrio je i uklonio oko 1700 aplikacija zaraženih malverom Joker (takođe poznatim i pod nazivom ... Dalje

Hakeri upali u Samsung Cloud naloge slavnih ličnosti

Hakeri upali u Samsung Cloud naloge slavnih ličnosti

Nepoznati napadači hakovali su Samsung Cloud naloge brojnih slavnih ličnosti u Južnoj Koreji, među kojima su glumci, pop zvezde i kuvari, iz kojih... Dalje

Jeftini telefoni koje američka vlada obezbeđuje za siromašne, isporučuju se sa kineskim malverima

Jeftini telefoni koje američka vlada obezbeđuje za siromašne, isporučuju se sa kineskim malverima

Program Lifeline Assistance koji je vlada Sjedinjenih Država pokrenula kako bi domaćinstvima sa malim primanjima omogućila pristup tehnologiji no... Dalje