Un nou studiu arată cât de precară este situația securității și a intimității utilizatorilor de smartphone-uri cu Android și cât de puțin controlează în realitate Google situația.
Cercetătorii în domeniul securității au prezentat în cadrul conferinței PrivacyCon 2019 un studiu care a descoperit mai bine de 1.000 de aplicații de Android care pot intra în posesia datelor personale fără a avea nevoie ca utilizatorul să le acorde permisiunile necesare în acest sens.
Problema în acest caz este platforma de dezvoltare comună folosită de unele de aplicații. Dacă o anumită aplicație a primit drepturi de acces din partea utilizatorului, datele colectate de aceasta vor putea fi accesate și de altă aplicație, care a fost dezvoltată pe aceeași platformă, chiar dacă aceasta din urmă nu are permisiunile de acces.
Un număr mare de aplicații, inclusiv unele dezvoltate de mari producători precum Samsung sau Disney, au fost create folosind SDK-ul pus la dispoziție de chinezii de la Baidu.
CITEȘTE ȘI iHunt, producător român de telefoane mobile, se listează astăzi la bursăAcesta stochează mai întâi pe telefon datele colectate de o aplicație ce a primit drepturile necesare de acces. De acolo, pot fi mai apoi accesate și de alte aplicații instalate, aplicații care au fost dezvoltate pe baza aceluiași SDK.
În plus, cercetătorii au descoperit și alte vulnerabilități prin care pot fi colectate informații precum adresa MAC a plăcii de rețea sau SSID-ul rețelei wireless. Aceste date sunt folosite pentru a identifica coordonatele geografice fără a fi necesar accesul la GPS.
Există și aplicații, precum Shutterfly, care află datele de localizare prin intermediul EXIF-ului din fotografii - la fel, fără a avea permisiunea de a accesa datele de localizare ale telefonului.
O veste bună vine din faptul că unele din probleme, precum accesarea datelor de localizare din imagini, vor fi rezolvate în Android Q. Problema este că va trece foarte mult timp până când acesta va ajunge în posesia unui număr semnificativ de utilizatori.
Google a fost notificat de cercetători despre aceste probleme în septembrie 2018 și nu a considerat că trebuie să includă fix-uri în cadrul update-urilor de securitate livrate la fiecare trei luni.