В останніх версіях Android є система дозволів, яка має вберегти приватні дані від витоку, якщо цього не бажає користувач. Однак дослідники кібербезпеки з’ясували, що додатки навчилися обходити цю систему дозволів. Вони можуть отримати приватні дані, навіть якщо користувач заборонив це через інтерфейс Android. У Google обіцяють виправити цю діру в Android 10 Q.
За даними дослідження експертів Берклі, Університету Калгарі та інституту IMDEA Networks Institute, навіть попри заборону доступу до приватних даних за допомогою механізмів Android додатки все одно можуть отримати такі приватні дані, як MAC-адресу, географічні координати телефона, його IMEI та інші. Результати оприлюднили на конференції кібербезпеки PrivacyCon 2019, і окремо їх відправили до Google.
Дослідники загалом проаналізували 88 000 додатків для Android. Сторонні програмні бібліотеки, надані компаніями Baidu та Salmonads, дозволяють додаткам таємно використовувати карту пам’яті SD для прихованого зберігання зібраних даних, таких як IMEI. Це дозволяє додаткам, яким заборонений доступ до цієї інформації, отримати її. Експерти знайшли 13 програм, які таким чином отримували доступ до IMEI. Ще 159 додатків мають можливість робити це саме, але їх не впіймали «на гарячому».
Принаймні один додаток – Shutterfly – використовував метадані фотографій у пам’яті смартфона для отримання інформації про географічні координати мобільника. Також частина додатків отримує MAC-адреси базових станцій Wi-Fi, використовуючи кеш ARP (Address Resolution Protocol Cache), зчитуючи поточні географічні координати смартфона. Ще 42 додатки на основі інструменту Unity SDK отримували MAC-адресу, використовуючи системну бібліотеку ioctl. Майже 12 000 додатків мають відповідний код і можуть робити те ж саме.
Дослідники зв’язалися з Google та передали свої напрацювання. Пошуковий гігант повідомив, що виправить ці проблеми у наступній версії своєї ОС Android 10 Q. Однак її отримає лише обмежена кількість телефонів, і експерти говорять, що Google має серйозніше ставитися до таких вразливостей і повинна випустити патчі для всіх підтримуваних версій Android.
