Приложения используют одни и те же наборы SDK, которые получают доступ к данным и отправляют их своим разработчикам.
Тысяча Android-приложений нашли способ обмануть систему разрешений ОС и отправлять на свои серверы уникальные идентификаторы устройств и иные данные, позволяющие раскрыть местоположение смартфонов.
Совместная группа ученых из Университета Калгари (Канада), института IMDEA Networks (Испания) и Университета Калифорнии (США) изучил а около 88 тыс. приложений из Google Play и выяснила, что больше тысячи из них продолжают собирать информацию даже при прямом запрете пользователя.
Даже если пользователь запретит одному приложению собирать данные, другое, получившее это разрешение, может делиться этой информацией с другими программами или сохранить ее в общем хранилище, где к данным может получить доступ любое другое приложение, в том числе вредоносное. Как поясняют исследователи, приложения используют одни и те же наборы средств разработки (SDK), которые получают доступ к данным и отправляют их своим разработчикам.
Согласно исследованию, речь идет о популярных приложениях, например, от Samsung и Disney, которые были загружены сотни миллионов раз. Они используют SDK, созданные китайской компанией Baidu и аналитической фирмой Salmonads, которые могут передавать пользовательские данные из одного приложения в другое (и на их серверы), предварительно сохраняя их локально на телефоне. Исследователи обнаружили, что некоторые приложения, использующие Baidu SDK, могут пытаться тайно получить необходимые данные для собственного использования.
Кроме прочего, некоторые из них способны отправлять на свои серверы MAC-адреса маршрутизаторов, данные о сетях Wi-Fi, SSID (идентификатор сети) и многое другое.
По словам ислледователей, некоторые из вышеперечисленных проблем будут исправлены в версии Android Q, запланированной к выходу в третьем квартале 2019 года. Тем не менее, обновление Android Q полностью не исправит ситуацию, поскольку далеко не все Android-устройства будут обновлены до данной версии ОС. В качестве возможного решения, эксперты предлагают включать соответствующие патчи в состав обновлений безопасности, выпускаемых Google.
