Тысячи Android-приложений следят за вами без разрешения

[Михаил ST 0]

09 июля — ГЛАС. Когда вы явно запрещаете приложению получать и отслеживать данные на вашем телефоне, то ожидаете, что у него не будет возможности это сделать. Но тысячи приложений нашли способ обмануть систему разрешений Android.

[Андрей М 0]

Вы можете установить запрет для одного приложения, но позволить получать данные другому. Между приложениями нет ничего общего, но они разработаны с помощью одних и тех же инструментов разработки программного обеспечения (SDK) и получают данные друг-друга из общего хранилища данных в вашем смартфоне. Это похоже на комнату с двумя дверьми, если вы заберете ключ только от одной из них, то это не помешает пройти через вторую.

 

Приложения от компаний Samsung и Disney, которые были загружены более ста миллионов раз. Они применяют общий SDK, который создан китайским поисковым гигантом Baidu совместно с аналитической фирмой Salmonads. Приложения способны обмениваться вашими данными между собой, предварительно сохраняя их на вашем телефоне. Другие приложения, использующие этот же SDK, могут спокойно получить доступ к этим данным.

Существует целый ряд вторичных путей получения данных, которые используют уникальные MAC-адрес вашего смартфона или точки wi-fi, SSID и иные источники информации способной заменить данных геолокации. Приложение Shutterfly получает координаты GPS из метаданных EXIF в ваших фотографиях.

 

Некоторые из известных проблем уязвимости будут исправлены в Android Q. Тем не менее, это не поможет всем телефонам с Android, так как Android Q будет недоступен для сотен миллионов работающих устройств. По состоянию на май, только 10,4% устройств Android получили обновление до версии Android P, а более 60% все еще работают на почти трехлетней версии Android N.