Нет никаких доказательств, что они программы получают доступ к камере или микрофону телефонов, чтобы шпионить за владельцами.
Группа американских исследователей из Северо-Западного университета и Калифорнийского университета в Санта-Барбаре проанализировала популярные приложения, доступные в официальном магазине Google Play, а также трех основных магазинах приложений от сторонних производителей. Выяснилось, что некоторые программы могут делать скриншоты экрана пользователя и загружать их в интернет, но нет никаких доказательств того, что они получают доступ к камере или микрофону телефонов, чтобы шпионить за владельцами.
Всего исследовательская группа просмотрела 15 627 приложений из официального магазина Google Play, 510 приложений из AppChina, 528 приложений с Mi.com и 285 приложений с портала Anzhi. Ученые проанализировали код и поведение каждой программы, чтобы обнаружить:
1) сколько приложений запрашивает разрешение на доступ к телефону и микрофону телефона;
2) какие приложения включают код, который вызывает функции API, специфичные для мультимедийной коллекции (код, вызывающий аудио API, API-интерфейс камеры);
3) и соответствуют ли эти ссылки API (если они присутствуют) в коде разработчика приложения или в сторонней библиотеке, встроенной в приложение.
Исследователи обнаружили, что большое количество приложений запрашивает разрешения на доступ к мультимедийным ресурсам в целом, но фактически только небольшая часть пользуется этими данными.
“Наше исследование выявило несколько угрожающих рисков конфиденциальности в экосистеме приложений Android, в том числе у приложений, которые чрезмерно предоставляют свои медиа-разрешения”, - отметили авторы.
Хорошая новость заключается в том, что из 17 260 приложений, которые анализировали ученые, только 21 записало и отправило мультимедийные данные через свое сетевое соединение. В 12 приложениях информация стала доступна в виде открытого текста (HTTP), либо с помощью ошибок кодирования, которые сделали скриншоты экрана пользователя и загрузили его в интернет. Остальные девять утечек - это случаи, когда приложение загружает изображения на облачные серверы для целей редактирования, но специально не раскрывает это пользователям.
В целом количество утечек невелико по сравнению с анализируемым набором данных, и исследователи не обнаружили никаких признаков вредоносного поведения, например, тайной записи звука через микрофон или видео через разрешение камеры, а затем скрытной загрузки контента в сети.
“Мы не нашли свидетельств того, что разговоры людей тайно записываются. То, что люди действительно, похоже, не понимают - это то, что вокруг много других возможностей отследить повседневную жизнь, которые дают третьим лицам столь же полное представление о вас”, - отметили исследователи.
Но ученые предупреждают о других проблемах. Одной из них является увеличение использования стороннего библиотечного кода. В своей работе исследователи заявили, что большая часть риска связана в основном с сторонними библиотеками, которые часто злоупотребляют разрешением, которое приложение получает от пользователей.
