Пятница, 22 ноября, 2024

Тысячи приложений научились обходить запрет разрешений в Android, Google обещает исправить это в Android Q 10

В последних версиях Android есть система разрешений, которая должна уберечь личные данные от утечки, если этого не хочет пользователь. Однако исследователи кибербезопасности выяснили, что приложения научились обходить эту систему разрешений. Они могут получить личные данные, даже если пользователь запретил это через интерфейс Android. В Google обещают исправить эту дыру в Android 10 Q.

По данным исследования экспертов Беркли, Университета Калгари и института IMDEA Networks Institute, даже несмотря на запрет доступа к личным данным посредством механизмов Android приложения все равно могут получить такие личные данные, как MAC-адрес, географические координаты телефона, его IMEI и прочие. Результаты обнародовали на конференции кибербезопасности PrivacyCon 2019, и отдельно их отправили в Google.

Исследователи в целом проанализировали 88 000 приложений для Android. Сторонние программные библиотеки, предоставленные компаниями Baidu и Salmonads, позволяют приложениям тайно использовать карту памяти SD для скрытого хранения собранных данных, таких как IMEI. Это позволяет приложениям, которым запрещен доступ к этой информации, получить ее. Эксперты нашли 13 программ, которые таким образом получали доступ к IMEI. Еще 159 приложений имеют возможность делать это же, но их не поймали «на горячем».

По крайней мере одно приложение – Shutterfly – использовало метаданные фотографий в памяти смартфона для получения информации о географических координатах мобильника. Также ряд приложений получает MAC-адреса базовых станций Wi-Fi, используя кэш ARP (Address Resolution Protocol Cache), считывая текущие географические координаты смартфона. Еще 42 приложения на основе инструмента Unity SDK получали MAC-адрес, используя системную библиотеку ioctl. Почти 12 000 приложений имеют соответствующий код и могут делать то же самое.

Исследователи связались с Google и передали свои наработки. Поисковый гигант сообщил, что исправит эти проблемы в следующей версии своей ОС Android 10 Q. Однако ее получит лишь ограниченное количество телефонов, и эксперты говорят, что Google должна серьезнее относиться к таким уязвимостям и должна выпустить патчи для всех поддерживаемых версий Android.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися