В Android нашли «дыру» для слива данных рекламодателям

Операционная система Android постоянно совершенствуется в плане защиты от различных типов угроз, в том числе от взлома и установки сомнительных приложений. Но в ходе недавнего исследования программного интерфейса ОС экспертам в области цифровой безопасности удалось найти в её коде не совсем обычную функцию. Один из API «зелёного робота» разрабатывался, чтобы позволить разработчикам настраивать взаимодействие приложений друг с другом, но также оказался способен собирать конфиденциальные данные пользователей.

В недавно опубликованном отчёте исследовательская группа, в состав которой вошли специалисты из университетов Швейцарии, Италии и Нидерландов, проанализировала внушительную выборку Android-приложений. Эксперты отмечали, как именно программы используют систему управления идентификацией (IAM). Хотя она предназначена для получения технических сведений (подпись, номер версии, время последнего обновления), многие из них собирали данные об установленных на устройстве приложениях.

Такая информация часто используется рекламодателями для определения предпочтений владельцев гаджетов. При этом работа IAM не требует специальных разрешений и происходит незаметно. В ходе эксперимента было проанализировано 14 342 популярных приложения из Google Play и 7886 сторонних, скачанных из интернета.

Выяснилось, что 30,29% коммерческих программ требуют обращения к IAM в своём коде, а для софта из сторонних источников эта цифра составила 2,89%. В обоих случаях каждый второй «подопытный» собирал именно данные о других приложениях в памяти устройства, причём с помощью сторонних библиотек, вроде интегрированных рекламных модулей.

По заключению исследователей, сбор подобного рода личных данных позволяет воспользоваться ими в рекламных целях. Учёные призвали Google ограничить обращение API к IAM и в каждом случае запрашивать разрешение пользователя на сбор подобных данных. Представители корпорации опубликованный документ не прокомментировали.

Добавить комментарий