Szpiegowanie na Androidzie i iOS-ie: problem 20 aplikacji, które pobrano ponad 35 mln razy

Strona główna Aktualności
Szkodliwy kod wykryto w 20 aplikacjach na Androida i iOS-a, fot. Pixabay
Szkodliwy kod wykryto w 20 aplikacjach na Androida i iOS-a, fot. Pixabay

O autorze

Aplikacje na Androida i iOS-a oferujące łączność VPN oraz możliwość blokowania reklam nie są tak bezpieczne, jak mogłoby się wydawać. Choć obydwa rodzaje programów można intuicyjnie uznać za sprzyjające prywatności użytkownika podczas przeglądania sieci, w praktyce niektóre z nich działają wręcz odwrotnie i gromadzą dodatkowe dane o korzystającym. Niedawno udało się zidentyfikować 20 takich programów, które łącznie zostały pobrane ponad 35 milionów razy.

O szczegółach poinformował serwis BuzzFeed News. Źródłem problemu okazała się platforma Sensor Tower, będąca narzędziem analitycznym dla twórców aplikacji. Jak ustalono podczas śledztwa, aplikacje działające w oparciu o Sensor Tower proszą użytkownika o instalację certyfikatu, który w praktyce pozwala śledzić cały sieciowy ruch telefonu.

Buzz Feed News skontaktował się z twórcami narzędzia i został zapewniony, że firma gromadzi jedynie anonimowe dane związane z wykorzystaniem aplikacji. Tymczasem analitycy z Malwarebytes komentują, że uprawnienia roota, których mogły wymagać opisywane aplikacje, to otwarta droga do problemów.

Problem z aplikacjami Sensor Tower został zobrazowany na przykładzie aplikacji Luna VPN na iOS-a. Program sam proponował możliwość instalacji dodatkowej aplikacji, która pozwoli blokować reklamy w serwisie YouTube. Jak się jednak okazywało, w praktyce wiązało się to z rozpoczęciem instalacji certyfikatu, który otwierał drogę do dalszego śledzenia użytkownika. Poza aplikacją Luna VPN, w raporcie wymienia się taże programy Free and Unlimited VPN, Mobile Data oraz Adblock Focus.

Dobra wiadomość jest jednak taka, że większość aplikacji z Sensor Tower została już usunięta ze Sklepu Play dla Androida oraz App Store w przypadku iOS-a. Twórcy nadal deklarują jednak, że wykorzystywane przez nich narzędzia analityczne nie zbierały od użytkowników haseł czy innych prywatnych danych. Buzz Feed News dodaje, że Google analizuje kwestię zgłoszonych aplikacji. W opisywanym raporcie nie pojawia się jednak ich pełna lista.

© dobreprogramy
s