Тысячи Android-приложений могут отслеживать местоположение, несмотря на запрет

Группа исследователей выяснила, что тысячи приложений способны обойти систему разрешений Android и определить уникальный идентификатор устройства, а также получить достаточное количество данных, чтобы установить местоположение пользователя. Результаты своей работы они представили на PrivacyCon 2019.

Даже если пользователь отвечает отказом, когда приложение запрашивает разрешение на доступ к личным данным, этого может быть недостаточно. Если в другом приложении пользователь дал согласие, то оно может поделиться этими данными с теми приложениями, у которых такого доступа нет, или оставить их в общем хранилище, где другие приложения, в том числе вредоносные, могут их прочитать.

Хотя приложения могут не иметь ничего общего на первый взгляд, если они созданы с использованием одного и того же комплекта средств разработки (SDK), то они могут иметь доступ к этим данным, а владельцы SDK – получать их.

Среди таких приложений значатся программы от Samsung и Disney, скачанные сотни миллионов раз. Они используют комплекты средств разработки, созданные китайским интернет-гигантом Baidu и аналитической компанией Salmonads, которые могут передавать данные пользователей из одного приложения в другие (и на собственные серверы), изначально храня их локально на устройстве. Исследователи выяснили, что некоторые приложения, созданные на базе SDK Baidu, могут затем получать эти данные для собственного использования.

Помимо этого, исследователи также выявили ряд уязвимостей, некоторые из которых позволяют отправлять разработчикам такие данные, как уникальные MAC-адреса сетевого чипа, маршрутизатора и точки беспроводного доступа, SSID и многое другое. А эти сведения в настоящее время являются довольно хорошим заменителем данных о местоположении.

Согласно исследователям, некоторые из этих проблем уже решены в Android Q. Это было сделано после того, как учёные уведомили Google об уязвимостях в ОС в сентябре 2018 года. При этом они отмечают, что компании хорошо бы запустить эти улучшения в рамках обновлений безопасности для Android, чтобы защитить больше пользователей, а не только владельцев новых моделей смартфонов.

В Google отказались от комментариев по конкретным уязвимостям, но подтвердили, что Android Q будет по умолчанию скрывать геолокационную информацию от фотоприложений, а также будет требовать от разработчиков таких приложений, чтобы они сообщали Google Play, могут ли они получать доступ к метаданным о местоположении.



Коды для вставки в блог\форум




Интересные новости
Изображения чехла для смартфона LG G9 «утекли» в ИнтернетИзображения чехла для смартфона LG G9 «утекли» в Интернет
Apple признала, что просматривает фотографии пользователей iPhoneApple признала, что просматривает фотографии пользователей iPhone
Количество проданных по всему миру iPhone приближается к 2 млрдКоличество проданных по всему миру iPhone приближается к 2 млрд
Samsung выпустит «неубиваемый» смартфон Galaxy xCover Pro по всему мируSamsung выпустит «неубиваемый» смартфон Galaxy xCover Pro по всему миру
Смартфон Huawei P30 Lite New Edition предстал в четырёх цветахСмартфон Huawei P30 Lite New Edition предстал в четырёх цветах
Блок рекламы


Похожие новости

Китай угрожает Германии ответными мерами в случае запрета HuaweiКитай угрожает Германии ответными мерами в случае запрета Huawei
Google: 80% Android-приложений теперь шифруют весь трафик по умолчаниюGoogle: 80% Android-приложений теперь шифруют весь трафик по умолчанию
Google выпустил пять Android-приложений для «цифрового здоровья»Google выпустил пять Android-приложений для «цифрового здоровья»
Google Play запретил кредитные приложения с высокими процентными ставкамиGoogle Play запретил кредитные приложения с высокими процентными ставками
США могут ввести санкции против стран, использующих оборудование HuaweiСША могут ввести санкции против стран, использующих оборудование Huawei
Разработчики программ для новой ОС Huawei не могут работатьРазработчики программ для новой ОС Huawei не могут работать
НКРСИ намерена запретить операторам списывать деньги без подтверждения
Новые iPhone могут получить зарядное устройство с интерфейсом USB Type-CНовые iPhone могут получить зарядное устройство с интерфейсом USB Type-C
Даже в случае запрета 5G-оборудования Huawei в Великобритании вендор продолжит развивать бизнес в странеДаже в случае запрета 5G-оборудования Huawei в Великобритании вендор продолжит развивать бизнес в стране
Facebook подал в суд на двух разработчиков Android-приложений за кликфродFacebook подал в суд на двух разработчиков Android-приложений за кликфрод
Последние новости

Подгружаем последние новости