Privasi: Aplikasi Android mengintip pengguna tanpa hak

Sebenarnya, manajemen hak Google harus mencegah aplikasi untuk Android mengumpulkan data tanpa persetujuan pengguna mereka. Namun, para peneliti telah menemukan sekitar 1.300 aplikasi populer yang tidak menerima bahwa "tidak" benar-benar berarti "tidak."

Peneliti Institut Ilmu Komputer Internasional menyelidiki sekitar 88.000 aplikasi Android dan menerbitkan hasilnya (PDF). Itu dianalisis dalam lingkungan yang terkendali aplikasi mana yang harus mengirimkan data mana dan jika itu seharusnya memiliki informasi ini sesuai dengan pengaturan manajemen hak.

Prosedur dan hasil

Para peneliti memeriksa apakah IMEI, alamat MAC, atau lokasi ditransmisikan. Setiap informasi ini memungkinkan untuk mengidentifikasi pemiliknya sebagai individu dan dengan demikian mengejar mereka dengan lebih baik. Untuk menghindari manajemen hak, dua metode layak dilakukan. Aplikasi baik memotong kebijakan keamanan dengan menemukan skenario yang tidak mencakup atau melindungi manajemen hak (Saluran Samping), atau mereka diam-diam mendapatkan informasi dari aplikasi yang memiliki hak yang diperlukan (Saluran Terselubung).

Secara total, hanya 60 aplikasi yang tertangkap basah, tetapi sekitar 15 persen atau hampir 13.000 aplikasi menemukan cara untuk mem-bypass kebijakan keamanan dalam kode dan dapat digunakan, tetapi entah memiliki hak yang diperlukan atau tidak memicu perangkap otomatis para peneliti. . Kategori ini mencakup aplikasi kesehatan Samsung dan juga browser perusahaan. Namun, sekitar 1.300 aplikasi dapat mengumpulkan dan mentransfer data tanpa hak yang diperlukan.

Mengintip pintar

Kolektor Saluran Samping termasuk Shutterfly. Aplikasi penyedia menemukan lokasi pemilik dengan membaca geodata EXIF ​​dari gambar. Platform pengembang Cina, Salmonads, menggunakan opsi tersembunyi untuk mendapatkan data. Aplikasi yang dikembangkan dengan SDK dapat menyimpan IMEI, ID promosi, dan alamat MAC pada kartu SD. Di sana mereka dapat dibaca oleh semua aplikasi lain, yang juga memiliki akses ke memori ponsel.

Teknologi yang sama menggunakan Baidu. Antara lain, perusahaan diberi makan oleh Disney Disneyland App di Hong Kong. Dua puluh aplikasi yang menerima data dengan cara ini telah diunduh lebih dari 700 juta kali. Demikian pula penetrasi tinggi dicapai oleh SDK lain yang memanfaatkan data; Alamat MAC secara aktif ditransmisikan selama pengujian oleh aplikasi, yang bersama-sama menambahkan hingga 3,6 miliar instalasi (belum tentu aktif). Manajemen hak dielakkan, misalnya, oleh OpenX SDK, penyedia iklan, hanya berduri setelah sistem menolak akses ke data yang diminta karena pengguna belum memberikan hak. Untuk daftar lengkap aplikasi, para peneliti ingin mempublikasikan di Konferensi Keamanan Usenix pada bulan Agustus.

Q singkatan dari "Qure"

Perilaku aplikasi semacam itu sangat bermasalah karena merusak manajemen hak dan secara de facto menjadikannya tidak berguna karena aplikasi tidak lagi harus meminta hak atau mengabaikan keputusan. Manajemen hak hanya menyarankan kontrol dalam kasus-kasus seperti itu. Secara hukum, prosedur ini kritis, itu akan bertentangan, antara lain, dengan ketentuan perlindungan data Eropa.

Google membuat para peneliti sadar akan kesenjangan di musim gugur yang lalu. Penyembuhan membawa tetapi Android Q pertama, yang diharapkan akan dirilis akhir tahun ini. Tapi itu bukan akhir dari pengintaian. Setidaknya secara teori, cara lain telah diuraikan bagaimana aplikasi dapat berkomunikasi satu sama lain. Bisa dibayangkan bahwa pengembang menggunakan server eksternal atau secara khusus menghasilkan beban puncak pendek yang dapat diartikan sebagai kode biner. Sensor getaran dan percepatan juga dapat disalahgunakan secara teori untuk tujuan ini.