Aplikacje na Androida mogą śledzić użytkowników. Uprawnienia nie mają znaczenia

Dyskusyjne bezpieczeństwo i momentami podważalna prywatność to kwestie, które aplikacjom na Androida towarzyszą w zasadzie od zawsze. Twórcy programów szukają nowych sposobów na zbieranie danych analitycznych o użytkownikach swoich produktów, cyberprzestępcy natomiast szukają luk, by uzyskać nie tylko statystyki, ale i konkretne dane.

By rozwiązać przynajmniej część tych problemów, w Androidzie wprowadzono mechanizm uprawnień. Dzięki niemu, po raz pierwszy uruchamiana aplikacja, czy nawet konkretna z jej funkcji, prosi użytkownika o udzielenie dostępu do tych czy innych zasobów – na przykład aplikacja aparatu o dostęp do pamięci, bo w końcu bez niego nie będzie w stanie zapisywać fotografii lub nawigacja GPS o dostęp do lokalizacji.

Jak jednak wynika z najnowszych badań, uprawnienia w Androidzie nie gwarantują pełnego bezpieczeństwa, na co zwraca uwagę serwis The Verge. Jak się okazuje, problematyczne mogą być pozornie niepowiązane ze sobą aplikacje, w których skorzystano z tego samego SDK, w tym przypadku chińskiego Baidu. Nieudzielenie uprawnień w jednym z programów nie musi wówczas oznaczać, że aplikacja nie ma dostępu do danych, jak oczekiwałby tego użytkownik.

Kłopotliwy jest bowiem sposób przechowywania danych analitycznych, które trafiają do pamięci smartfonu. Jak zwrócili uwagę badacze, niektóre aplikacje próbują uzyskać do nich dostęp bez informowania o tym użytkownika i bazując na plikach, które stworzyły inne aplikacje z tym samym SDK. Badacze zwracają uwagę na ponad 1000 aplikacji na Androida z takimi problemami. Do tego dochodzi szereg innych luk, których wykorzystanie pozwala uzyskać na przykład informacje o adresie MAC lub SSID wykorzystywanej sieci Wi-Fi.

Niechlubnym przykładem nieskutecznego systemu uprawnień jest aplikacja Shutterfly do edycji zdjęć. Jak wykazała analiza, program zbierał informacje o lokalizacji zapisane w metadanych fotografii i przesyłał je na serwery twórców – także wtedy, gdy użytkownicy nie wyrazili zgody na dostęp do lokalizacji, choć rzeczniczka zaprzeczyła takim praktykom w oświadczeniu dla serwisu CNET.

Na razie niewiele wskazuje na to, by na polu bezpieczeństwa najbliższe miesiące mogły cokolwiek zmienić. Nadzieje pokładane są w Androidzie Q, w którym jednym z priorytetów ma być właśnie prywatność i nowy sposób zarządzania uprawnieniami. Aplikacje do obsługi zdjęć domyślnie nie będą miały dostępu do lokalizacji, a jeśli takowy będzie potrzebny, informacja o tym będzie dostępna już w Sklepie Play.

Należy jednak pamiętać, że nawet jeśli zmiany w nowym Androidzie rozwiążą przynajmniej część opisywanych problemów, to większe bezpieczeństwo będzie przez długi czas odczuwalne tylko dla nielicznych. Jak wynika ze statystyk Google'a, w maju, czyli mniej więcej 9 miesięcy po premierze najnowszego wciąż Androida Pie, ta wersja działa tylko w nieco ponad 10 proc. smartfonów z Androidem. Tempo wdrażania Androida Q prawdopodobnie nie będzie nieporównywalnie lepsze.