Fabryczne aplikacje na Androidzie zagrażają bezpieczeństwu

Najnowsze badanie hiszpańskich zespołów naukowców, przeprowadzone na grupie 1492 telefonów z Androidem od 214 różnych producentów pokazuje, że fabryczne aplikacje często stanowią poważną lukę w systemach bezpieczeństwa. Preinstalowane oprogramowanie otrzymuje pełne uprawnienia bez wiedzy, a tym bardziej – zgody użytkownika, pisze Le Figaro.

O tym, że aplikacje mobilne mają dostęp do wrażliwych danych, nikogo uświadamiać nie trzeba. Po pobraniu użytkownik musi wyrazić zgodę na dostęp do rozmaitych zasobów. Jednak zgoda to słowo-klucz. Jeśli użytkownik jej nie wyrazi, to w teorii może spać spokojnie. W praktyce, jak wynika z opracowania opublikowanego podczas kalifornijskiego sympozjum na temat bezpieczeństwa, konieczność uzyskania zgody nie dotyczy oprogramowania preinstalowanego.

Ustalono, że aplikacje instalowane domyślnie na setkach milionów urządzeń z Androidem mają dostęp do wszelkich zakątków systemu. Mogą uzyskać prywatne dane i wysłać je do programisty, producenta, operatora, a nawet stron trzecich. Bez informowania użytkownika jakie dane są wykorzystywane, w jakim celu i przez kogo dokładnie.

Juan Tapiador z Uniwersytetu Karola III w Madrycie i Narseo Vallina-Rodriguez z IMDEA Networks Institute skoncentrowali swoje badania na telefonach z systemem Android, firmowanych przez 214 producentów i używanych w 130 krajach. Według autorów, jest to najbardziej wyczerpująca analiza na ten temat. Mając na uwadze, że Android to system operacyjny, w który wyposażanych jest mniej więcej 80 proc. nowych smartfonów.

*– Większość producentów twierdzi, że dzięki preinstalowanym aplikacjom, zwiększa komfort użytkowania, dodając na przykład autorską nakładkę – mówi Narseo Vallina-Rodriguez. I kontynuuje: – Niektórzy operatorzy telekomunikacyjni również stosują własny software (...) Inne, mniej widoczne podmioty są także dostępne w telefonie, zanim zostanie włączony po raz pierwszy *.

Naukowiec słusznie zwraca uwagę na umowy pomiędzy producentami, deweloperami i telekomami, które prowadzą do dużego nasycenia fabrycznego oprogramowania. Są wśród nich powszechnie rozpoznawalni giganci, tacy jak Facebook, ale często też software typowo reklamowy, pochodzący od całej rzeszy zupełnie nieznanych (w domyśle: niezaufanych) programistów.

W rezultacie użytkownik nic nie wie o aplikacjach, które cały czas działają w tle i mogą korzystać z jego danych. – Kupiliśmy w dużych supermarketach sześć telefonów różnych marek. Kiedy je włączyliśmy, każdy poprosił o zaakceptowanie warunków Androida, ale tylko w połowie wspomniano o szczególnych warunkach związanych z dodanymi funkcjami – tłumaczy Julien Gamba, francuski naukowiec, który uczestniczył w badaniu. – Gdy właściciel żąda autoryzacji, często jest to bardzo niejasne. A jeśli użytkownik odrzuci warunki, telefon nie uruchomi się – dodaje Gamba.

Co gorsza, uprzywilejowana pozycja wstępnie zainstalowanych aplikacji pozwala im także na przesyłanie poufnych danych do innych, zainstalowanych już z woli użytkownika aplikacji. – Jeśli aplikacja żąda dostępu do lokalizacji lub kamery, użytkownik zrozumie, o co chodzi. Jednak pobrana aplikacja może również poprosić aplikację preinstalowaną o dostęp i otrzymać informacje bez wiedzy użytkownika. To tylne drzwi – zauważa Juan Tapiador.

Co może zrobić użytkownik, aby się chronić? Niewiele rzeczy. Często jedynym sposobem usunięcia preinstalowanych aplikacji jest rootowanie telefonu, czyli, jak wiadomo, uzyskanie pełnych praw dostępu do plików i funkcji systemowych. Niemniej nie jest to czynność do wykonania przez laika, a na dodatek może unieważnić gwarancję urządzenia. Autorzy analizy wzywają konsumentów do ostrzegania instytucji publicznych, takich jak Urząd Ochrony Danych Osobowych (UODO), o działaniach producentów.

Hiszpańska Agencja Ochrony Danych (AEPD) zobowiązała się przedstawić wyniki tego badania Europejskiej Radzie Ochrony Danych, której nadrzędne zadanie stanowi korelacja współpracy między agencjami krajowymi państw członkowskich Unii Europejskiej.