Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Mobilni telefoni, 10.07.2019, 03:00 AM

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa uređaja.

Bezbednosni model modernih mobilnih operativnih sistema, kao što su Android i iOS, prvenstveno se zasniva na dozvolama koje eksplicitno određuju kojim servisima ili korisničkim informacijama neka aplikacija može pristupati. Te dozvole daju korisnici na kojima je da odluče koje aplikacije im mogu pristupati.

Kada izričito kažete Android aplikaciji - "Ne, nemate dozvolu da pratite moj telefon", verovatno očekujete da ona neće imati mogućnosti da to radi. Ipak, u stvarnosti to nije tako.

Istraživanje (PDF) tima istraživača sa Međunarodnog instituta za računarske nauke u Kaliforniji otkrili su da programeri mobilnih aplikacija koriste skrivene tehnike za prikupljanje podataka korisnika čak i kada im korisnici uskrate dozvole.

Govoreći na skupu PrivacyCon, čiji je domaćin prošlog četvrtka bila Federalna trgovinska komisija, istraživači su predstavili svoja otkrića koja pokazuju kako više od 1300 Android aplikacija prikupljaju precizne podatke o geolokaciji korisnika i identifikatore telefona čak i kada oni eksplicitno odbiju tražene dozvole.

"Aplikacije mogu da zaobiđu model dozvola i dobiju pristup zaštićenim podacima bez saglasnosti korisnika koristeći i tajne i bočne kanale", tvrde istraživači.

Istraživači su pregledali više od 88000 aplikacija iz Google Play prodavnice, od kojih je za 1325 utvrđeno da krše sisteme dozvola u operativnom sistemu Android koristeći skrivena rešenja koja im omogućavaju da traže lične podatke korisnika iz izvora kao što su metapodaci sačuvani na fotografijama i Wi-Fi konekcijama.

Na primer, istraživači su pronašli aplikaciju za uređivanje fotografija, nazvanu Shutterfly, koja prikuplja podatke o lokaciji uređaja tako što izvlači GPS koordinate iz metapodataka fotografija koje koristi kao bočni kanal, čak i kada korisnici odbiju da daju aplikaciji dozvolu za pristup podacima o lokaciji.

"Primetili smo da aplikacija Shutterfly (com.shutterfly) šalje precizne geolokacijske podatke na vlastiti server (apcmobile.thislife.com) bez dozvole za lokaciju."

Treba napomenuti da ako neka aplikacija može da pristupi lokaciji korisnika, onda joj svi servisi treće strane ugrađeni u tu aplikaciju takođe mogu pristupiti.

Pored toga, istraživači su pronašli još 13 aplikacija sa više od 17 miliona instalacija koje pristupaju IMEI telefona, identifikatoru telefona, koje druge aplikacije čuvaju nezaštićenim na SD kartici telefona.

"Android štiti pristup IMEI telefona dozvolom READ_PHONE_STATE. Identifikovali smo dve online usluge trećih strana koje koriste različite prikrivene kanale da bi pristupili IMEI kada aplikacija nema dozvolu za pristup IMEI."

Prema istraživačima, biblioteke trećih strana koje nude dve kineske kompanije, Baidu i Salmonads, takođe koriste ovu tehniku kao tajni kanal za prikupljanje podataka iako nemaju dozvolu za pristup.

Neke aplikacije koriste MAC adresu Wi-Fi pristupne tačke da bi otkrile lokaciju korisnika. Aplikacije koje funkcionišu kao pametne daljinske kontrole, kojima inače ne trebaju informacije o lokaciji da bi funkcionisale, prikupljaju podataka o lokaciji na ovaj način.

"Pronašli smo 5 aplikacija koje koriste ovu ranjivost i 5 sa odgovarajućim kodom da to urade," pisali su istraživači.

"Pored toga, poznavanje MAC adrese rutera omogućava povezivanje različitih uređaja koji dele pristup internetu, što može otkriti lične odnose njihovih vlasnika ili omogućiti praćenje unakrsnih uređaja."

U svojoj studiji, istraživači su uspešno testirali ove aplikacije na Android Marshmallow i Android Pie.

Istraživači su svoja otkrića prosledili Googleu prošlog septembra, a kompanija je njihovom timu isplatila nagradu za odgovorno otkrivanje problema, ali nažalost, ispravke će biti objavljene sa izdanjem Androida K, koji se očekuje kasnije ovog leta.

Istraživači misle da bi Google trebalo da učini više, u smislu objavljivanja hitnih zakrpa u okviru sigurnosnih ažuriranja, jer po njihovom mišljenju ne bi trebalo da samo kupci novijih telefona dobiju zaštitu. "Google javno tvrdi da privatnost ne bi trebalo da bude luksuz, ali izgleda da je to ono što se ovde dešava", kažu istraživači.

Android K će rešiti probleme skrivajući podatke o lokaciji na fotografijama od aplikacija drugih proizvođača, kao i obavezujući aplikacije koje pristupaju Wi-Fi-u da imaju dozvolu za pristup podacima o lokaciji.

Do tada, korisnicima se savetuje da ne veruju aplikacijama i da isključe postavke dozvola za lokaciju i ID za aplikacije kojima one zapravo nisu potrebne da bi funkcionisale. Takođe, deinstalirajte svaku aplikaciju koju ne koristite redovno.