Viac ako tisíc Android aplikácií dokáže zbierať citlivé údaje aj bez udeleného povolenia

0
LG G7 ThinQ
Ilustr. foto

Vývojári niektorých aplikácií dokázali obísť povolenia pre prístup k určitým typom údajov, ktoré obvykle užívatelia aplikáciám udeľujú alebo naopak, zamietajú. Vyplýva to z výskumu neziskovej organizácie The International Computer Science Institute, na ktorý upozornil server CNET.

Experti námatkovo skontrolovali 88 000 aplikácií z americkej verzie obchodu Google Play, pri ktorých ich zaujímalo, ako narábajú s citlivými údajmi, ku ktorým mali zamietnutý prístup. Presne 1 325 aplikácií dokázalo zbierať informácie o umiestnení aj bez udeleného povolenia zo strany užívateľa.

Vývojári ale tento ochranný prvok takzvane neprelomili. Len si našli inú cestu, ako sa k týmto údajom dostať. Získali ich ich z metadát uložených vo fotografiách a z WiFi pripojení.

Aplikáciám tak stačilo povolenie pre prístup k súborovému systému, resp. galérii a k sieťovým pripojeniam. Niektoré aplikácie získavajú dotknuté údaje z iných nainštalovaných aplikácií, ktoré majú oprávnenie k nim pristupovať. Tento spôsob dokáže využiť len pár desiatok z kontrolovaných aplikácií, no tie majú na konte dovedna niekoľko miliónov stiahnutí.

Metódu využívajú napr. niektoré aplikácie, ktoré fungujú ako diaľkový ovládač pre domácu elektroniku. Vzhľadom na ich zameranie ale neexistuje žiadny relevantný dôvod, aby informácie o polohe zariadenia zbierali.

udaje
Nastavenia povolení nainštalovaných aplikácií v OS Android 9 Pie

Serge Egelman, riaditeľ ICSI pre výskum bezpečnosti a ochrany súkromia povedal, že udeľovanie povolení aplikáciam zo strany spotrebiteľov je relatívne bezvýznamné, pokiaľ dokážu vývojári aplikácií tento systém obísť. Podľa neho majú spotrebitelia len veľmi málo nástrojov na to, aby mohli kontrolovať svoje súkromie a rozhodovať o ňom.

Serge Egelman predniesol zistenia na konferencii PrivacyCon, ktorá sa konala minulý týždeň pod záštitou americkej Federálnej obchodnej komisie. Riaditeľ má v pláne zverejniť názvy všetkých 1 325 aplikácií, ktoré prostriedky pre ochranu osobných údajov obchádzajú. Učiní tak na budúci mesiac na konferencii Usenix Security.

TIP REDAKCIE
Zmena kurzu? Hongmeng OS nie je určený pre smartfóny, hovorí viceprezidentka Huawei

Bezpečnostní experti na problém upozornili v septembri tohto roku aj spoločnosť Google. Tá už má riešenie. Volá sa Android 10 Q. V novej verzii operačného systému Android, ktorý bude v stabilnej podobe uvoľnený na jeseň, disponuje dôslednejšou ochrannou osobných údajov.

Informácie o umiestnení, ktoré sú vo fotografiách uložené, skryje a zároveň bude vyžadovať dodatočné povolenie pre prístup k polohe pri pripojení na WiFi. Ako však vieme, najnovšia verzia operačného systému nebude dostupná pre všetky mobilné zariadenia.

Staršie smartfóny a smartfóny z najnižších cenových kategórií aktualizáciu dostať nemusia a zrejme ju ani nedostanú. Ak áno, tak podstatne neskôr. Podrobná správa o výskume organizácie je dostupná na tejto adrese.