Исследователи из Массачусетского технологического института (MIT) проанализировали 500 самых популярных на операционной системе Android приложений. Обнаружено, что 63% из них ведут скрытый обмен данными с удалёнными серверами, которые не оказывают влияние на работу пользователя с приложениями, то есть не нужны ему. Использовались как статические методы анализа, так и оценка людьми, сообщает oszone.net со ссылкой на softpedia.com.
Явный обмен данными исследователи описывают как оказывающий видимое влияние на работу приложения, интерфейс и взаимодействие с пользователем. Скрытый обмен данным проходит для пользователя незамеченным.
«Аналитические сервисы собирают информацию о производительности приложения, сбоях в работе и использовании, а также об определенных действиях пользователя в самой программе. Эти данные нужны разработчикам, однако нигде не уточняется, какая именно информация и в каких объёмах собирается.
По факту, некоторые приложения начинают собирать аналитическую информацию ещё до своей активации. К примеру, Twitter, Walmart и Pandora начинают сбор информации, как только загрузится смартфон, и периодически продолжают это делать, пока он включен, даже если сами по себе эти приложения не используются вовсе. В большинстве случаев единственным способом отключить передачу этих данных является деинсталляция программы», — говорится в исследовании MIT.
Половина таких скрытых обменов данными происходят с сервисами аналитики, однако другая часть адресатов осталась для исследователей загадкой. Не останавливаясь на этом, они декомпилировали и модифицировали 47 из первых 100 бесплатных приложений, отключив в них возможность вести скрытую отправку данных.
Проверявшие эти приложения пользователи не заметили разницы между оригинальной и изменённой версиями в 30 приложениях. Всего 5 программ после изменения утратили работоспособность, у 12 было замечено незначительное влияние на интерфейс.
Чаще всего скрытое общение велось с одними и теми же компонентами: в 76.4% приложениях это com.google.android (1913, то есть половина от общего числа зафиксированных случаев), также часто встречаются com.gameloft (мобильные игры), com.unity3d (мобильные игры), com.facebook (соцсети) и ряд рекламных SDK. Популярная игра Candy Crash Saga, конфиденциальность в которой вызывала у пользователей сомнения, в подобном поведении замечена не была.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.