Ίσως όλοι εμείς κατά βάθος να πείθουμε τον εαυτό μας πως τα προσωπικά μας δεδομένα προστατεύονται στο έπακρο και υπάρχει προστασία στην ιδιωτική μας ζωή και αυτό θεωρούμε πως το πετυχαίνουμε μη χορηγώντας ορισμένα δικαιώματα σε εφαρμογές όταν τα χρησιμοποιείτε για πρώτη φορά. Ωστόσο, οι έρευνες ανακάλυψαν (μέσω του CNET) περισσότερες από 1.000 εφαρμογές Android που βρήκαν τρόπους για να αποκτήσουν δικαιώματα που δεν τους επιτρέπουν οι χρήστες να έχουν πρόσβαση σε δεδομένα τοποθεσίας και άλλες προσωπικές πληροφορίες. Το Διεθνές Ινστιτούτο Πληροφορικής (ICSI) λέει ότι βρήκε 1.325 εφαρμογές στο Google Play Store που συγκέντρωσαν αυτά τα δεδομένα από χρήστες που τους είχαν αρνηθεί να δώσουν πρόσβαση σε όλα. Η μελέτη παρουσιάστηκε στο PrivacyCon, που φιλοξενήθηκε τον περασμένο μήνα από την Federal Trade Commission (FTC).
Σε αυτή την μελέτη έγινε η εξέταση 88.000 εφαρμογών του Android και διαπιστώθηκε πώς χειρίστηκαν τα δεδομένα όταν δεν τους χορηγήθηκαν δικαιώματα. Αυτό που η μελέτη ανακάλυψε ήταν ότι περίπου 1.325 εφαρμογές είχαν κώδικα για να λάβουν δεδομένα θέσης από μεταδεδομένα που είναι αποθηκευμένα σε φωτογραφίες και από συνδέσεις Wi-Fi. Ο Serge Egelman, διευθυντής της έρευνας σχετικά με την ασφάλεια και την προστασία της ιδιωτικής ζωής στο ICSI, παρουσίασε τα δεδομένα στο συνέδριο και ανέφερε ότι η Google ενημερώθηκε τον περασμένο Σεπτέμβριο. Η εταιρεία δήλωσε ότι θα αντιμετωπίσει αυτό το ζήτημα με την κυκλοφορία του Android Q, που αναμένεται αργότερα αυτό το τρίμηνο. Η Google θα αποκρύψει πληροφορίες τοποθεσίας σε φωτογραφίες από εφαρμογές. Θα απαιτήσει επίσης εφαρμογές που λειτουργούν με Wi-Fi να λάβουν άδεια λήψης δεδομένων τοποθεσίας.
Άλλες εφαρμογές συλλέγουν προσωπικές πληροφορίες από άλλες εφαρμογές που έχουν λάβει άδεια για να τις αποκτήσουν. Οι εφαρμογές αρνήθηκαν να έχουν πρόσβαση στις προσωπικές πληροφορίες από μη προστατευμένα αρχεία σε μια κάρτα SD όπου αποθηκεύονται από άλλη εφαρμογή που τους έχει χορηγηθεί άδεια για τη συλλογή τους. Ενώ η έκθεση αναφέρει ότι μόνο 13 εφαρμογές Android χρησιμοποίησαν αυτήν την τεχνική για να κλέψουν προσωπικά δεδομένα, αυτές οι εφαρμογές εγκαταστάθηκαν πάνω από 17 εκατομμύρια φορές και περιλαμβάνουν την εφαρμογή Baidu του Χονγκ Κονγκ Disneyland Park. Άλλες 153 εφαρμογές είναι σε θέση να το κάνουν, συμπεριλαμβανομένων των εφαρμογών της Samsung για την υγεία και το πρόγραμμα περιήγησης, οι οποίες εγκαθίστανται σε πάνω από 500 εκατομμύρια συσκευές. Μεταξύ των προσωπικών δεδομένων που μπορούν να κλαπούν με αυτή τη μέθοδο είναι ο μοναδικός αριθμός IMEI του τηλεφώνου σας. Άλλες εφαρμογές συνδέονται στο δίκτυο Wi-Fi ενός χρήστη για να κλέψουν δεδομένα θέσης. Αυτές οι εφαρμογές αποκτούν τον αριθμό MAC που αναγνωρίζει τον προσαρμογέα δικτύου σε συσκευές Wi-Fi. Η έκθεση σημειώνει ότι οι εφαρμογές που χρησιμοποιούνται ως έξυπνα τηλεχειριστήρια το κάνουν συχνά, παρόλο που δεν υπάρχει νόμιμος λόγος για να έχουν τα δεδομένα θέσης ενός χρήστη.
Ως παράδειγμα, η έκθεση σημείωσε ότι η εφαρμογή έκδοσης φωτογραφιών Shutterfly έλαβε συντεταγμένες GPS από τις φωτογραφίες και απέστειλε τα δεδομένα στους διακομιστές της, ακόμη και αν ο χρήστης δεν χορήγησε στην εφαρμογή την άδεια να λάβει τα δεδομένα θέσης. Ένας εκπρόσωπος της εφαρμογής αρνήθηκε αυτούς τους ισχυρισμούς και είπε ότι συλλέγει δεδομένα θέσης μόνο με την άδεια του χρήστη.
Ο Egelman λέει ότι θα αποκαλύψει τα ονόματα των 1.325 εφαρμογών Android που συγκέντρωσαν προσωπικά δεδομένα χωρίς άδεια. Αυτό θα συμβεί τον επόμενο μήνα, όταν θα παρουσιάσει ξανά την έκθεση, αυτή τη φορά στη διάσκεψη ασφαλείας Usenix.
[via]