Смартфони можуть шпигувати за своїми власниками

Група американських дослідників з Північно-Західного університету і Каліфорнійського університету в Санта-Барбарі проаналізувала популярні додатки, доступні в офіційному магазині Google Play, а також трьох основних магазинах додатків від сторонніх виробників. З'ясувалося, що деякі програми можуть робити скріншоти екрану користувача і завантажувати їх в інтернет, але немає ніяких доказів того, що вони отримують доступ до камери або мікрофону телефонів, щоб шпигувати за власниками.

Всього дослідницька група переглянула 15 627 додатків з офіційного магазину Google Play, 510 додатків з AppChina, 528 додатків з Mi.com і 285 додатків з порталу Anzhi. Вчені проаналізували код і поведінку кожної програми, щоб виявити:

1) скільки додатків запитує дозвіл на доступ до телефону і мікрофона телефону;

2) які програми включають код, який викликає функції API, специфічні для мультимедійної колекції (код, що викликає аудіо API, API-інтерфейс камери);

3) і чи відповідають ці посилання API (якщо вони присутні) в коді розробника програми або в сторонньої бібліотеці, вбудованої в додаток.

Дослідники виявили, що велика кількість додатків запитує дозволу на доступ до мультимедійних ресурсів в цілому, але фактично тільки невелика частина користується цими даними.

"Наше дослідження виявило кілька загрозливих ризиків конфіденційності в екосистемі додатків Android, в тому числі у додатків, які надмірно надають свої медіа-дозволу", - зазначили автори.

Гарна новина полягає в тому, що з 17 260 додатків, які аналізували вчені, тільки 21 записало і відправило мультимедійні дані через своє мережеве з'єднання. У 12 додатках інформація стала доступна у вигляді відкритого тексту (HTTP), або за допомогою помилок кодування, які зробили скріншоти екрану користувача і завантажили його в інтернет. Решта дев'ять витоків - це випадки, коли програма завантажує зображення на хмарні сервери для цілей редагування, але спеціально не розкриває це користувачам.

В цілому кількість витоків невелика в порівнянні з аналізованих набором даних, і дослідники не виявили ніяких ознак шкідливого поведінки, наприклад, таємницею запису звуку через мікрофон або відео через дозвіл камери, а потім прихованої завантаження контенту в мережі.

"Ми не знайшли свідчень того, що розмови людей таємно записуються. Те, що люди дійсно, схоже, не розуміють - це те, що навколо багато інших можливостей відстежити повсякденне життя, які дають третім особам настільки ж повне уявлення про вас ", - відзначили дослідники.

Але вчені попереджають про інші проблеми. Однією з них є збільшення використання стороннього бібліотечного коду. У своїй роботі дослідники заявили, що більша частина ризику пов'язана в основному з сторонніми бібліотеками, які часто зловживають дозволом, який додаток отримує від користувачів.