Android: ktoś logował się w twoim telefonie? Teraz może cię szpiegować

Użytkownicy Androida powinni z uwagą podchodzić do udostępniania swojego telefonu innym osobom. Jak zauważyli badacze bezpieczeństwa, ktoś kto raz logował się w danym urządzeniu z Androidem, może później sprawdzać jego lokalizację - mimo pozornego wylogowania.

Na specyficzną cechę Androida zwrócił uwagę Pieter Arntz z Malwarebytes, opisując sprawę na własnym przykładzie. Badacz pewnego dnia postanowił zainstalować aplikację ze Sklepu Play w smartfonie z Androidem swojej żony, a ponieważ był to program płatny, który kupił już przez swoje konto, zalogował się w telefonie swoimi danymi. Aplikację udało się pobrać, ale na koniec użytkownik nie wylogował się ze Sklepu Play.

Choć trudno uznać to za rozsądne (do błędu przyznaje się zresztą sam badacz), dzięki tej pomyłce na jaw wyszedł inny problem. Pieter Arntz równolegle analizował bowiem informacje zbierane o nim na osi czasu Map Google. Aplikacja zapamiętuje kluczowe punkty, w których bywa użytkownik, a w czasie nawigacji pełny przebieg trasy, by można było do nich wrócić w przyszłości. Badacz zauważył, że w jego historii zaczynają się pojawiać nietypowe miejsca.

Jak okazało się dzięki analizie sytuacji, Google pokazywał na mapie jednocześnie jego historię, jak i miejsca, które fizycznie odwiedza jego żona (choć na jej koncie Google funkcja osi czasu w Mapach była wyłączona). Gdy badacz ostatecznie wylogował się ze Sklepu Play w smartfonie żony, problem wcale nie zniknął.

Okazało się, że konto Arntza zostało automatycznie dodane do listy wszystkich kont w smartfonie, a wylogowanie ze Sklepu Play tego nie zmieniło. Równolegle jego konto Google zostało więc dodane w Mapach Google i szeregu innych aplikacji producenta, a następnie wykorzystane do automatycznej synchronizacji danych.

Badacz zgłosił swoje spostrzeżenia Google'owi, ale w tym momencie nie ma pewności, czy cokolwiek w tej sprawie się zmieni. Koniec końców nie mówimy w tym przypadku o luce w zabezpieczeniach, ale o nieintuicyjnym procesie zarządzania kontami w Androidzie i słabo widocznej informacji, że w telefonie zalogowanych jest kilka osób.

Użytkownik Androida, który nie interesuje się oprogramowaniem i w wyjątkowej sytuacji chce użyczyć swój smartfon znajomemu, by ten na przykład pobrał opłaconą aplikację, może później przeoczyć, że znajomy jest dalej zalogowany w urządzeniu. Prowadzi to do niespodziewanego "wycieku" danych i wymiany informacji o lokalizacji między niepowiązanymi (w przekonaniu użytkowników) smarfonami.

Aby uniknąć problemów takich, jak opisany powyżej, po pierwsze należy unikać pożyczania swojego smartfonu innym osobom, ale jeśli jest to już konieczne - upewnić się, czy konto obcej osoby zostało usunięte z urządzenia, a nie na przykład jedynie wylogowane w Sklepie Play.

By to zrobić, należy odwiedzić ustawienia Androida, a w nich znaleźć kategorię Konta i kopia zapasowa i wybrać opcję Zarządzanie kontami. Na liście widać wszystkie konta powiązane ze smartfonem - warto ją przenalizować.