Okazuje się, że wiele aplikacji mobilnych zbiera z naszych telefonów więcej informacji, niż im na to pozwalamy. W badaniu przetestowano ponad 88 tysięcy najpopularniejszych aplikacji dostępnych w Google Play w Stanach Zjednoczonych. Zostały one sprawdzone pod kątem zbierania danych wrażliwych, które pozwalają na identyfikację konkretnego urządzenia którego używamy, czy ustalenie naszej lokalizacji.
Metodologia
Zespół naukowców wybrał 8 typów informacji, które znalezione na telefonie pozwalają na jego zidentyfikowanie, ustalenie lokalizacji, odczytanie numeru telefonu czy adresu e-mail związanego z aktywnym użytkownikiem. Pod kątem dostępu do tych danych przeanalizowane zostało zarówno zachowanie wytypowanych wcześniej aplikacji, jak i ich kody źródłowe. O ile numer, adres e-mail czy dane karty SIM są bezpieczne, okazało się, że niektóre aplikacje mają swoje sposoby, aby uzyskać naszą lokalizację czy numer IMEI. Nawet jeżeli im na to nie pozwolimy.
Zgodnie z obecną polityką Google Play, twórca każdej aplikacji ma obowiązek poinformować użytkownika do jakich danych i funkcji telefonu będzie miała ona dostęp. My możemy się na to nie zgodzić, odmawiając pewnych uprawnień przy pierwszym uruchomieniu. No, bo po co grze mobilnej dostęp do aparatu, a aplikacji promocyjnej kawiarni do kontaktów? Wygląda jednak na to, że czasami nie wyrażenie zgody nie wystarczy. A niektóre z nich, w ogóle o nią nie proszą.
Rezultaty
Są dwa sposoby, dzięki którym aplikacje mogą uzyskać nieuprawniony dostęp do danych. Pierwszy z nich, to tak zwany kanał poboczny. Chociaż program nie ma bezpośredniego dojścia do pewnych informacji, niezależnie od tego czy go nie upoważniliśmy czy po prostu nie powinien go mieć, może się okazać, że istnieje więcej niż jedna ścieżka dostępu. Jest to właśnie kanał poboczny, który niejako omija zablokowaną ścieżkę.
Poza tym, istnieje też kanał ukryty. W tym przypadku mamy aplikację, która jest uprawniona do zbierania danych informacji i po prostu… udostępnia je innym programom, wśród plików użytkownika.
Z ponad 88 tysięcy aplikacji, 362 uzyskało dane pozwalające na ustalenie lokalizacji z dokładnością nawet do kilku metrów. 172 potrafiły odczytać numer IMEI, który jest identyfikatorem danego telefonu. Używany jest na przykład w przypadku kradzieży urządzenia w celu jego blokady, a jego zmiana jest nielegalna. Największa ilość programów, bo aż 12 450 potrafiło uzyskać dostęp do adresu MAC. Jest to numer pozwalający na identyfikację karty sieciowej w danym urządzeniu.
I co dalej?
Niestety na ten moment dla nas, użytkowników, nie ma prostego wyjścia jak bronić się przed agresywnymi aplikacjami zbierającymi wrażliwe dane. Autorzy badania zapewnili, że uzyskane rezultaty przekazali Google. Pozostaje więc mieć nadzieję, że twórcy będą musieli zmodyfikować swoje programy i dostosować je do obowiązującej polityki prywatności.
Artykuł, w którym są zawarte powyższe badania został przedstawiony na Sympozjum UNESIX Security, które odbyło się 14-16 sierpnia 2019 roku w Santa Clara, w Kalifornii. Całość dostępna jest do przeczytania tutaj.
