Исследователи безопасности обнаружили, что система разрешений в Android не гарантирует безопасности вашим данным. Сотни приложений копаются в них безо всякого разрешения.
Независимые эксперты из Международного института компьютерных наук (ICSI) провели колоссальное исследование. Они протестировали 88 тыс. приложений из американского сегмента Google Play Store. Исследователи запускали каждое приложение, наблюдали за тем, какие данные оно передает в сеть, а затем сравнивали эти данные со списком разрешений, предоставленных приложению при установке. Оказалось, что 1325 приложений сливают в сеть данные, к которым они вообще не должны иметь доступа. Это примерно 1,5% от общего числа протестированных приложений.
Согласно отчету ICSI, в тесте принимали участие наиболее популярные приложения из всех категорий Play Store. Данные о приложениях-нарушителях были переданы в Федеральную торговую комиссию США и в Google. Правда, представители Google пообещали, что смогут исправить проблему с “дырявой” системой разрешений в Android Q.
Множественные уязвимости
Основная проблема заключается в том, что тринадцать сотен приложений нарушителей не эксплуатировали какую-то одну уязвимость. Дыр было множество. В результате приложения без разрешения получали доступ к геолокации, электронным письмам, номерам телефонов, IMEI-коду смартфона.
Один из способов, которым приложения получали данные о геолокации пользователя, заключался в перехвате MAC-адреса подключенных базовых станций Wi-Fi через протокол ARP. Приложения использовали метаданные для определения локации, хотя пользователи не давали им прямого доступа к GPS. Исследователи ICSI называют подобное использование окольного метода для сбора определенной информации “обходным каналом”.
Также были обнаружены “тайные каналы”. Сторонние библиотеки, написанные китайскими хакерами, тайно использовали SD-карту в качестве хранилища для IMEI-кода смартфона. Если пользователь давал доступ к IMEI одному приложению, использующему такую библиотеку, та автоматически копировала IMEI и открывала доступ к нему для других приложений.
Но это не самое тревожное. Хотя 1325 приложений активно использовали лазейки в Android десятки тысяч приложений имели такую возможность. Так, по словам исследователей, всего 42 приложения без разрешения определяли местоположение пользователя с помощью MAC-адреса. Но 12408 приложений имели такую возможность, хотя и не использовали ее в ходе теста. Возможно, исследователи просто не смогли создать соответствующих условий для срабатывания триггера. Но количество потенциальных шпионов поражает.
В ближайшее время FTC и Google предстоит решить, что делать в сложившейся ситуации. Ведь, скорее всего, это - далеко не полная картина. 88 тыс. приложений - это лишь малая доля того, что содержится в Play Store, не считая всю экосистему Android. Вероятно, разработчикам придется радикально пересматривать систему безопасности, делая ее более грубой и “непробиваемой”.