При установке Android-приложений последние сообщают о данных, которые им требуются для работы, а также спрашивают разрешение для доступа к программным (адрес электронной почты, к примеру) или аппаратным (GPS) компонентам. Пользователь волен решать, что разрешить, а что запретить. Однако, как выяснили исследователи, запрет не всегда означает, что приложение послушается.
Инженеры из International Computer Science Institute в США изучили более чем 88 тыс. приложений из Google Play, выяснив, что 1325 из них ведут сбор информации даже в случае, если пользователь запретил это делать (в частности, данные о Wi-Fi-соединениях и метаданных с фото). Очевидно, что даже при большом желании сохранить свою личную жизнь в тайне некоторые ее аспекты все равно станут доступны третьим сторонам.
Исследование было проведено в прошлом году, и компания Google была уведомлена о его результатах. Там признали, что проблема существует, но закрыта уязвимость будет лишь в Android Q. Свежая ОС выйдет позже в этом году, однако скорость ее распространения, если ничего не изменится, будет чрезвычайно низкой (у актуальной Android 9 Pie — 10,4% рынка, а лидирует Android 8.х Oreo).
Полный список приложений авторы исследования опубликуют в августе, на очередной конференции Usenix Security.
Journal information