Android-appar samlar in dina data utan tillstÄnd, rapportera fynd

Android-appar samlar in dina data utan tillstÄnd, rapportera fynd

Tusentals Android-appar kan kringgÄ behörigheter och samla in tillrÀckligt med data för att spÄra och identifiera din telefon, enligt en ny studie.

Forskare frÄn University of Calgary, UC Berkley och IMDEA Networks Institute i Spanien upptÀckte att appar kan kringgÄ appbehörigheter med hjÀlp av dolda och sidokanaler.

Sidakanaler tillĂ„ter appar att komma Ă„t skyddad data utan tillstĂ„nd. dolda kanaler anvĂ€nds nĂ€r tvĂ„ appar kommunicerar – en som delar skyddad data som har givits med tillstĂ„nd till en annan som saknar dessa behörigheter. Dessa data kan inkludera MAC-adresser, telefonens IMEI och mer.

Studien analyserade över 88 000 appar som var tillgĂ€ngliga via den amerikanska Google Play Store och fann att appar frĂ„n stora företag – inklusive Samsung (Health and Browser) och Disney (Hong Kong Disneyland Park-appen) – med miljontals nedladdningar pĂ„verkas.

Samsung- och Disney-appar anvÀnder programvaruutvecklingssatser (SDK) frÄn det kinesiska sökföretaget Baidu och analysföretaget Salmonads, vilket innebÀr att data kan flyttas mellan appar och mellan företagens servrar genom den lokala lagringen pÄ din telefon.

Studien pekade ocksĂ„ ut Shutterfly-appen och uppgav att den skickar “exakta geolokaliseringsdata till sin egen server utan att ha platsbehörighet.” I en kommentar till CNET förnekade företaget dessa pĂ„stĂ„enden och sa att det bara samlar in platsdata nĂ€r det har tillstĂ„nd, trots vad forskarna upptĂ€ckte.

“Liksom mĂ„nga fototjĂ€nster anvĂ€nder Shutterfly denna information för att förbĂ€ttra anvĂ€ndarupplevelsen med funktioner som kategorisering och personliga produktförslag, allt i enlighet med Shutterflys integritetspolicy samt Android-utvecklaravtalet”, sĂ€ger företaget.

PÄ den ljusa sidan kommer mÄnga av dessa problem att lösas med den kommande Android Q-uppdateringen, men detta ger tvÄ problem: det första Àr att inte alla telefoner kommer att uppdateras till Android Q. FrÄn och med augusti 2018, drygt 10 procent av enheterna Android körde Android 9.0 (Pie), med cirka 30 procent Android Oreo (8.1) och Android Oreo (8.0).

Detta innebĂ€r att integritet och sĂ€kerhet riskerar att bli en lyx för dem med flaggskeppssmartphones och att Google behöver göra mer för att driva kunder och företag att uppdatera sina enheter – vilket, till företagets kredit, det försöker göra.

Serge Egelman, chef för anvÀndbar sÀkerhets- och integritetsforskning vid ICSI, kommer enligt uppgift att dela informationen om de 1325 appar som har samlat in information utan anvÀndartillstÄnd vid Usenix Security-konferensen i augusti.