Круговая порука: как крадут наши данные

Тысячи приложений Android могут отслеживать данные пользователя, даже если им было запрещено это делать, сообщает портал The Verge. Всему виной одинаковый набор для разработки программного обеспечения (SDK), благодаря которому мобильные программы фактически могут обмениваться информацией о юзере между собой.

Даже если запретить мобильному приложению сбор информации о пользователе, есть лазейка, которой это приложение может воспользоваться, сообщает портал The Verge. Исследователи в сфере информационной безопасности утверждают, что тысячи приложений для Android нашли способ обмануть систему разрешений на сбор данных, тайно сливая уникальный идентификатор устройства пользователя, а также его геолокацию.

В случае, если юзер не дает разрешение конкретному приложению на сбор информации, этого может быть недостаточно для защиты собственной приватности.

Оказалось, что другое приложение, которому пользователь дал необходимые разрешения, может делиться собранными данными или хранить их в общем облаке, к которому в теории может получить доступ даже злоумышленник.

При этом на первый взгляд эти два приложения могут быть никак не связаны между собой. Однако, если они используют один и тот же набор для разработки программного обеспечения (SDK — Software Development Kit), то могут без проблем получить доступ к информации, которую пользователь хотел скрыть. ИБ-эксперты сравнивают эту технику с ребенком, который попросил у мамы мороженое, получил отказ и тут же побежал просить разрешения у папы.

Как следует из исследования, представленного на конференции PrivacyCon 2019, потенциальную опасность могут представлять и «проверенные» приложения, например от Samsung или Disney, которые были скачены сотни миллионов раз. Сообщается, что они пользуются SDK, созданным китайским поисковым гигантом Baidu, что позволяет без особых проблем хранить и передавать данные о пользователях другим приложениям.

Сообщается, что исследователи обнаружили ряд других уязвимостей в Android, которые должны быть исправлены в Android Q, десятой версии операционной системы, находящейся в разработке. Впрочем, большинство существующих телефонов на базе Android не будут поддерживать версию Q, а значит их владельцы останутся под угрозой кражи данных.

По статистике от мая 2019 года, лишь 10,4% всех устройств с Android имеют установленной текущую версию Android P, а свыше 60% все еще пользуются Android N, которой уже почти три года.

Как рассказал «Газете.Ru» глава отдела исследования угроз и защиты для мобильных устройств Avast Николаос Хрисаидос, приложения, использующие один и тот же SDK, могут получить доступ к информации пользователя путем установки скрытого доступа к данным во внешнем хранилище, где приложения с определенными разрешениями хранят данные, такие как IMEI устройств.

При этом была обнаружена еще одна проблема — извлечение данных о местоположении из метаданных фотографий. Такая проблема встречается достаточно давно.

«Пользователи верят, что если они корректно установят настройки приватности, их данные будут защищены. К несчастью, это не так. Обеспечение конфиденциальности и защита от мобильных вредоносных программ — две эти проблемы должны быть одинаково важны для пользователей Android», — считает эксперт.

По словам Хрисаидоса, самой большой угрозой для пользователей в этом случае является потеря их конфиденциальных данных, поскольку эта информация может передаваться компаниям, которым пользователи не давали никакого права на доступ к ней. Последствия могут различаться и будут зависеть от того, что компании, получившие эти данные, дальше сделают с ними, кому их передадут и насколько безопасно будут хранить их.

«При выборе приложений для загрузки из магазина Google Play пользователи должны внимательно прочитать отзывы, оставленные другими людьми, и проверить, к чему хочет получить доступ приложение (на что оно запрашивает разрешение). Также рекомендуется посмотреть на то, кто является разработчиком этого приложения — возможно, вы уже раньше видели негативные отзывы о нем», — рекомендует эксперт в качестве превентивной меры.

По словам Георгия Старостина, эксперта лаборатории практического анализа защищенности компании «Инфосистемы Джет», разработчики приложений довольно часто встраивают функционал сбора данных, которые используются либо для собственной аналитики, либо для продажи третьим лицам.

«Как правило, утверждается, что собираются и передаются обезличенные данные, и в это хотелось бы верить. Но, как показывает практика, далеко не все данные достаточно обезличены — в мире было немало инцидентов, связанных с собираемой информацией.

Приложения, особенно бесплатные, стремятся получить от пользователя как можно больше информации, такой как геолокация, фотографии, список контактов, поисковые запросы, SMS-сообщения и многое другое.

Список данных зависит исключительно от разработчиков и при этом может изменяться и, как правило, не контролируется пользователем», — сообщил Старостин.

«Чем опасны собираемые данные? Для начала компании узнают о человеке все больше и больше и могут использовать эту информацию в своих интересах. Например, у некоторых сервисов по заказу такси цены меняются в зависимости от устройства, на котором установлено приложение. А если собираемые данные (в списке данных может быть практически что угодно) попадут в руки злоумышленникам, то они могут стать хорошим подспорьем для мошенничества против пользователя», — предупредил эксперт.

Маргарита Герасюкова

Тематики: ПО, Безопасность

Ключевые слова: информационная безопасность, персональные данные, мобильные приложения