Исследователи Международного института информатики обнаружили 1325 приложений Android, которые в обход непосредственного запрета на доступ собирали данные — включая точное местоположение и идентификаторы смартфонов — с пользовательских устройств, пишет CNET.
В исследовании было рассмотрено 88 тысяч приложений магазина Google Play. Из них 1325 нарушали политику компании касательно пользовательских разрешений при помощи уловок в коде, которые извлекали персональные данные из таких источников, как Wi-Fi и метаданные в фотографиях.
К примеру, редактор фотографий Shutterfly собирал и отправлял на сервер GPS-координаты, даже если пользователи отклоняли соответствующий запрос. Представители компании отрицают обвинения исследователей.
Некоторые приложения собирали идентификационные номера, например IMEI, смартфонов через другие приложения, которые имели санкционированный доступ к персональным данным. Так они могли просматривать незащищённые файлы SD-картах устройств и извлекали данные, на которые не имели прав.
В этом уличили 13 приложений, которые в сумме были скачаны более 17 млн раз. Среди них, к примеру, приложение Диснейленда в Гонконге от Baidu. Ещё 153 приложения, скачанные свыше 500 млн раз, имеют такую возможность.
Некоторые приложения собирали геолокационные данные, подключаясь к сети Wi-Fi и вычисляя MAC-адрес роутера. За этим замечены приложения для дистанционного управления смарт-устройствами, которым для работы данные о местоположении были ни к чему.
Об этом исследователи уведомили Google в прошлом сентябре. Компания ответила, что исправит проблему только в Android Q, релиз которой состоится позже в этом году. Планируется скрывать от приложений геолокационные данные в фотографиях, а все приложения, использующие Wi-Fi, обяжут получать разрешение на доступ к этой информации. Кроме того, все приложения для работы с фото будут сообщать Play Store, способны ли они обрабатывать метаданные о местоположении.
«По сути, потребители имеют очень мало средств для контроля за приватностью своих данных и принятия решений в этом плане. Если разработчики приложений могут обойти систему, то запрашивать разрешение пользователей практически бессмысленно», — отметили специалисты, представлявшие исследование на конференции Федеральной комиссии по торговле (США) в конце июня.
Полный список приложений-нарушителей они собираются опубликовать в августе.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.