Badanie: Które aplikacje na Androida szpiegują użytkowników?

Przez ostatni rok Elleen Pan, Jingjing Ren, Martina Lindorfer, Christo Wilson, i David Choffnes z Northeastern University analizowali zachowanie aplikacji mobilnych dostępnych w sklepie Google Play i jego 3 chińskich odpowiednikach. Użyli w tym celu 10 modeli telefonów z zainstalowanym Androidem. Początkowo chcieli sprawdzić, czy twórcy aplikacji nagrywają rozmowy i je analizują pod kątem wyświetlanych reklam. Pomimo, że nie wykryli takiego zachowania, to udało im się udowodnić, że wiele programów zainstalowanych w telefonie śledzi użytkownika, nawet bez odpowiednich uprawnień nadanych w systemie operacyjnym.
Badanie: Które aplikacje na Androida szpiegują użytkowników?

Naukowcy z Northeastern University przez rok monitorowali zachowanie aplikacji w różnych modelach telefonów z Androidem (fot. David Choffnes)

Z badania wynika, że 90 procent aplikacji do swojego działania wymaga zezwolenia na dostęp do zewnętrznych pamięci. Z kolei 70 procent korzysta z aparatu. Dostęp do dźwięku ma około 44 procent przebadanych programów. Co ciekawe, często aplikacje żądają uprawnień, których tak naprawdę nie potrzebują. Najbardziej jaskrawy przykład to żądanie uprawnień konta administratora przez aplikację mobilną Facebooka, o czym pisaliśmy w CHIP-ie. Okazało się, że powodem zamieszania była zewnętrzna biblioteka programistyczna.

Aplikacje bez wiedzy użytkownika wykonują zrzuty ekranu akcji jakie wykonuje (graf. Northeastern University)

Zewnętrzne biblioteki programistyczne są chętnie używane przez programistów. Dzięki nim program można napisać szybciej i łatwiej, bez konieczności własnoręcznego oprogramowywania odpowiednich funkcji. Jednak często ceną za tę wygodę jest utrata kontroli nad tym, jak się zachowuje aplikacja. Naukowcy zidentyfikowali 163 zewnętrzne biblioteki, do których odwołują się aplikacje. 25 z nich wykorzystuje pliki multimedialne znajdujące się w telefonie.

85 procent aplikacji mobilnych robi zrzuty ekranu (graf. Northeastern University)

Twórcy aplikacji znaleźli też sposób na geolokację bez korzystania z systemowych uprawnień do danych lokalizacyjnych. Programom wystarcza informacja o znajdujących się w pobliżu urządzeniach sieciowych, aby z dużą dokładnością określić gdzie w danym momencie znajduje się telefon.

Pomimo, że nie udało się udowodnić popularnej teorii spiskowej o tym, że aplikacje korzystają z mikrofonu w celu serwowania bardziej dokładnych reklam, wyniki pracy naukowców są niepokojące. Wystarczy bowiem jedna złośliwa aplikacja, czy też biblioteka programistyczna, aby przestępcy uzyskali dostęp do naszych danych. Robienie zrzutów i nagrywanie ekranu bez wiedzy użytkownika jest niestety częstą praktyką i równie groźną co podsłuchiwanie rozmów telefonicznych. | CHIP