Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ
Среда, 10 июля 2019 07:55

Наши данные всё таки крадут

Тысячи приложений Android могут отслеживать данные пользователя, даже если им было запрещено это делать, сообщает портал The Verge. Всему виной одинаковый набор для разработки программного обеспечения (SDK), благодаря которому мобильные программы фактически могут обмениваться информацией о юзере между собой.


Даже если запретить мобильному приложению сбор информации о пользователе, есть лазейка, которой это приложение может воспользоваться, сообщает портал The Verge. Исследователи в сфере информационной безопасности утверждают, что тысячи приложений для Android нашли способ обмануть систему разрешений на сбор данных, тайно сливая уникальный идентификатор устройства пользователя, а также его геолокацию.


В случае, если юзер не дает разрешение конкретному приложению на сбор информации, этого может быть недостаточно для защиты собственной приватности.
Оказалось, что другое приложение, которому пользователь дал необходимые разрешения, может делиться собранными данными или хранить их в общем облаке, к которому в теории может получить доступ даже злоумышленник.


При этом на первый взгляд эти два приложения могут быть никак не связаны между собой. Однако, если они используют один и тот же набор для разработки программного обеспечения (SDK — Software Development Kit), то могут без проблем получить доступ к информации, которую пользователь хотел скрыть. ИБ-эксперты сравнивают эту технику с ребенком, который попросил у мамы мороженое, получил отказ и тут же побежал просить разрешения у папы.


Как следует из исследования, представленного на конференции PrivacyCon 2019, потенциальную опасность могут представлять и «проверенные» приложения, например от Samsung или Disney, которые были скачены сотни миллионов раз. Сообщается, что они пользуются SDK, созданным китайским поисковым гигантом Baidu, что позволяет без особых проблем хранить и передавать данные о пользователях другим приложениям.


Сообщается, что исследователи обнаружили ряд других уязвимостей в Android, которые должны быть исправлены в Android Q, десятой версии операционной системы, находящейся в разработке. Впрочем, большинство существующих телефонов на базе Android не будут поддерживать версию Q, а значит их владельцы останутся под угрозой кражи данных.


По статистике от мая 2019 года, лишь 10,4% всех устройств с Android имеют установленной текущую версию Android P, а свыше 60% все еще пользуются Android N, которой уже почти три года.
Как рассказал «Газете.Ru» глава отдела исследования угроз и защиты для мобильных устройств Avast Николаос Хрисаидос, приложения, использующие один и тот же SDK, могут получить доступ к информации пользователя путем установки скрытого доступа к данным во внешнем хранилище, где приложения с определенными разрешениями хранят данные, такие как IMEI устройств.
При этом была обнаружена еще одна проблема — извлечение данных о местоположении из метаданных фотографий. Такая проблема встречается достаточно давно.


«Пользователи верят, что если они корректно установят настройки приватности, их данные будут защищены. К несчастью, это не так. Обеспечение конфиденциальности и защита от мобильных вредоносных программ — две эти проблемы должны быть одинаково важны для пользователей Android», — считает эксперт.


По словам Хрисаидоса, самой большой угрозой для пользователей в этом случае является потеря их конфиденциальных данных, поскольку эта информация может передаваться компаниям, которым пользователи не давали никакого права на доступ к ней. Последствия могут различаться и будут зависеть от того, что компании, получившие эти данные, дальше сделают с ними, кому их передадут и насколько безопасно будут хранить их.

Источник

Правительство поддержало регистрацию всех мобильных устройств с выходом в интернет по международному идентификатору мобильного оборудования, но в случае, если она будет бесплатной. 

Опубликовано в Мобильные устройства

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика