Fabryczne aplikacje na Androidzie zagrażają bezpieczeństwu

Strona głównaFabryczne aplikacje na Androidzie zagrażają bezpieczeństwu
02.04.2019 07:55
Fabryczne aplikacje na Androidzie zagrażają bezpieczeństwu

Najnowsze badanie hiszpańskich zespołów naukowców, przeprowadzone na grupie 1492 telefonów z Androidem od 214 różnych producentów pokazuje, że fabryczne aplikacje często stanowią poważną lukę w systemach bezpieczeństwa. Preinstalowane oprogramowanie otrzymuje pełne uprawnienia bez wiedzy, a tym bardziej – zgody użytkownika, pisze Le Figaro.

bEJnDqcB

O tym, że aplikacje mobilne mają dostęp do wrażliwych danych, nikogo uświadamiać nie trzeba. Po pobraniu użytkownik musi wyrazić zgodę na dostęp do rozmaitych zasobów. Jednak zgoda to słowo-klucz. Jeśli użytkownik jej nie wyrazi, to w teorii może spać spokojnie. W praktyce, jak wynika z opracowania opublikowanego podczas kalifornijskiego sympozjum na temat bezpieczeństwa, konieczność uzyskania zgody nie dotyczy oprogramowania preinstalowanego.

Preinstalowany może wszystko

Ustalono, że aplikacje instalowane domyślnie na setkach milionów urządzeń z Androidem mają dostęp do wszelkich zakątków systemu. Mogą uzyskać prywatne dane i wysłać je do programisty, producenta, operatora, a nawet stron trzecich. Bez informowania użytkownika jakie dane są wykorzystywane, w jakim celu i przez kogo dokładnie.

Juan Tapiador z Uniwersytetu Karola III w Madrycie i Narseo Vallina-Rodriguez z IMDEA Networks Institute skoncentrowali swoje badania na telefonach z systemem Android, firmowanych przez 214 producentów i używanych w 130 krajach. Według autorów, jest to najbardziej wyczerpująca analiza na ten temat. Mając na uwadze, że Android to system operacyjny, w który wyposażanych jest mniej więcej 80 proc. nowych smartfonów.

bEJnDqcD

*– Większość producentów twierdzi, że dzięki preinstalowanym aplikacjom, zwiększa komfort użytkowania, dodając na przykład autorską nakładkę – mówi Narseo Vallina-Rodriguez. I kontynuuje: – Niektórzy operatorzy telekomunikacyjni również stosują własny software (...) Inne, mniej widoczne podmioty są także dostępne w telefonie, zanim zostanie włączony po raz pierwszy *.

Handel uprawnieniami

Naukowiec słusznie zwraca uwagę na umowy pomiędzy producentami, deweloperami i telekomami, które prowadzą do dużego nasycenia fabrycznego oprogramowania. Są wśród nich powszechnie rozpoznawalni giganci, tacy jak Facebook, ale często też software typowo reklamowy, pochodzący od całej rzeszy zupełnie nieznanych (w domyśle: niezaufanych) programistów.

W rezultacie użytkownik nic nie wie o aplikacjach, które cały czas działają w tle i mogą korzystać z jego danych. – Kupiliśmy w dużych supermarketach sześć telefonów różnych marek. Kiedy je włączyliśmy, każdy poprosił o zaakceptowanie warunków Androida, ale tylko w połowie wspomniano o szczególnych warunkach związanych z dodanymi funkcjami – tłumaczy Julien Gamba, francuski naukowiec, który uczestniczył w badaniu. – Gdy właściciel żąda autoryzacji, często jest to bardzo niejasne. A jeśli użytkownik odrzuci warunki, telefon nie uruchomi się – dodaje Gamba.

Uwaga! Backdoor za rogiem

Co gorsza, uprzywilejowana pozycja wstępnie zainstalowanych aplikacji pozwala im także na przesyłanie poufnych danych do innych, zainstalowanych już z woli użytkownika aplikacji. – Jeśli aplikacja żąda dostępu do lokalizacji lub kamery, użytkownik zrozumie, o co chodzi. Jednak pobrana aplikacja może również poprosić aplikację preinstalowaną o dostęp i otrzymać informacje bez wiedzy użytkownika. To tylne drzwi – zauważa Juan Tapiador.

bEJnDqcJ

Co może zrobić użytkownik, aby się chronić? Niewiele rzeczy. Często jedynym sposobem usunięcia preinstalowanych aplikacji jest rootowanie telefonu, czyli, jak wiadomo, uzyskanie pełnych praw dostępu do plików i funkcji systemowych. Niemniej nie jest to czynność do wykonania przez laika, a na dodatek może unieważnić gwarancję urządzenia. Autorzy analizy wzywają konsumentów do ostrzegania instytucji publicznych, takich jak Urząd Ochrony Danych Osobowych (UODO), o działaniach producentów.

Hiszpańska Agencja Ochrony Danych (AEPD) zobowiązała się przedstawić wyniki tego badania Europejskiej Radzie Ochrony Danych, której nadrzędne zadanie stanowi korelacja współpracy między agencjami krajowymi państw członkowskich Unii Europejskiej.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEJnDqdz