Android приложенията могат да преглеждат конфиденциалната информация и без ваше разрешение
Вероятно ви се е случвало категорично да блокирате разрешенията на Android приложение да следи телефона. И евентуално очаквате то да няма тази опция. Според проучване на специалисти, редица приложения за смарт телефони употребяват задни порти в опит да излъжат Android системата за сигурност, извличайки значими данни като модел телефон и локация, даже и когато потребителят ясно е изразил несъгласието си за шерване на тези данни.
Методът е доста елементарен – в случай че сте блокирали достъпа до персоналните данни на обещано приложение, друго сигурно може да ги чете и вероятно да ги съхранява локално в телефона ви. Тези данни могат да се четат от първото приложение и копират или модифицират, с огромна възможност благодарение на малуер. Може да ви се коства, че две приложения нямат връзка, само че в действителност може да са написани с идентични SDK. Собствениците на SDK пакета пък имат достъп до данните.
Според изследване показано на PrivacyCon 2019, такива приложения са дело на колоси като Samsung и Disney, изтегляни милиони пъти. Те употребяват SDK пакета на китайската компания Baidu взаимно със Salmonads, и могат да си трансферират информацията от едно към друго приложение (включително и към сървърите). Не че тези компании употребяват непозволено данните, само че приложения на други, по-недобронамерени разработчици могат да се доберат до тях.
Най-вероятно казусът ще бъде отстранен с излизането на Android Q, защото експертите са уведомили Гугъл още през септември. Това обаче не би помогнало на болшинството мобилни телефони, които няма да получат софтуерния ъпдейт. Според майската статистика едвам 10 % от Android потребителите са с версия P, до момента в който над 60% употребяват тригодишната Android N. Решението е да се издадат изключителни ъпдейти (Hotfix-ове, сходно на метода, по който Microsoft обнови Windows XP поради WannaCry атаката). Гугъл отхвърля да разяснява случая, само че удостовери, че с Android Q ще се отстрани опцията приложенията да четат данните за геолокация на фотосите и други сходни данни.
Методът е доста елементарен – в случай че сте блокирали достъпа до персоналните данни на обещано приложение, друго сигурно може да ги чете и вероятно да ги съхранява локално в телефона ви. Тези данни могат да се четат от първото приложение и копират или модифицират, с огромна възможност благодарение на малуер. Може да ви се коства, че две приложения нямат връзка, само че в действителност може да са написани с идентични SDK. Собствениците на SDK пакета пък имат достъп до данните.
Според изследване показано на PrivacyCon 2019, такива приложения са дело на колоси като Samsung и Disney, изтегляни милиони пъти. Те употребяват SDK пакета на китайската компания Baidu взаимно със Salmonads, и могат да си трансферират информацията от едно към друго приложение (включително и към сървърите). Не че тези компании употребяват непозволено данните, само че приложения на други, по-недобронамерени разработчици могат да се доберат до тях.
Най-вероятно казусът ще бъде отстранен с излизането на Android Q, защото експертите са уведомили Гугъл още през септември. Това обаче не би помогнало на болшинството мобилни телефони, които няма да получат софтуерния ъпдейт. Според майската статистика едвам 10 % от Android потребителите са с версия P, до момента в който над 60% употребяват тригодишната Android N. Решението е да се издадат изключителни ъпдейти (Hotfix-ове, сходно на метода, по който Microsoft обнови Windows XP поради WannaCry атаката). Гугъл отхвърля да разяснява случая, само че удостовери, че с Android Q ще се отстрани опцията приложенията да четат данните за геолокация на фотосите и други сходни данни.
Източник: kaldata.com
КОМЕНТАРИ