Naučnici analizirali 17260 Android aplikacija: Nisu nađeni dokazi da aplikacije špijuniraju korisnike

Mobilni telefoni, 04.07.2018, 10:00 AM

Detaljna analiza 17260 Android aplikacija pokazala je da iako se dešava da neke aplikacije slučajno prave snimke ekrana korisnika i postavljaju ih na internet, nema dokaza koji bi mogli ukazivati na to da aplikacije krišom uključuju mikrofon ili kameru telefona da bi špijunirali vlasnike uređaja.

Studija koju su sproveli naučnici sa Nortvestern univerziteta i Univerziteta Kalifornija analizirala je ponašanje popularnih aplikacija dostupnih u zvaničnoj Google Play prodavnici, ali i tri velike nezavisne prodavnice.

Tim istraživača je pregledao 15627 aplikacija iz Google Play prodavnice, 510 aplikacija iz AppChina, 528 aplikacija sa Mi.com i 285 aplikacija sa portala Anzhi.

Istraživači su analizirali kod i ponašanje svake aplikacije kako bi otkrili:

1) koje i koliko aplikacija traži dozvolu za pristup kameri i mikrofonu telefona;

2) koje aplikacije uključuju kod koji poziva API funkcije specifične za prikupljanje multimedija (kod koji poziva Audio API, Camera API ili Screen Capture API);

3) i da li su ove API reference (ukoliko su prisutne) u kodu programera aplikacije ili u biblioteci treće strane ugrađene u aplikaciju.

Ono što su istraživači otkrili je da veliki broj aplikacija traži dozvole za pristup multimedijalnim resursima uopšteno, ali samo mali deo njih zaista i koristi te dozvole.

"Ova nedoslednost povećava potencijalne rizike za privatnost korisnika: ranije nekorišćene dozvole mogu biti eksploatisane pomoću novog koda treće strane koji programer uključuje u aplikaciju", kažu istraživači. "Osim toga, kod treće strane koji nema dozvolu za korišćenje multimedija u jednoj verziji aplikacije može početi da koristi sve dozvole dodeljene budućoj verziji aplikacije u svrhu koja nema veze sa aplikacijom."

Ali, dobra vest je da je od 17260 aplikacija koje su analizirali istraživači, pronađena samo 21 aplikacija koja je snimala i slala multimedijalne podatke preko mreže. Od ovih 21, 12 aplikacija je ugrozilo podatke bilo slanjem informacija u formi čistog teksta (HTTP) ili zbog grešaka u kodu koje su pravile i otpremale snimke ekrana.

Ostalih devet slučajeva curenja podataka su slučajevi u kojima je aplikacija slala slike na oblak radi uređivanja, ali nije o tome obavestila korisnike.

Sve u svemu, broj slučajeva curenja podataka je mali u odnosu na broj analiziranih podataka, a istraživači nisu našli bilo kakve dokaze zlonamernog ponašanja, poput tajnog snimanja zvuka putem mikrofona ili snimanja videa preko dozvole za kameru, i tajnog slanja na server.

Ali istraživači upozoravaju na druge probleme. Jedan od njih je veliki rizik od biblioteka treće strane, koje često zloupotrebljavaju dozvolu koju aplikacija dobija od korisnika. Istraživački tim kaže da je rekao za ta curenja programerima aplikacija, ali i timu koji razvija Android, kako bi mogli da poboljšaju dizajn operativnog sistema u odnosu na biblioteke nezavisnih proizvođača kojima se pristupa funkcijama za koje aplikacija "majka" nije dobila dozvolu.

Više detalja o svemu ovome možete naći u dokumentu koji su objavili istraživači [PDF].