Tysiące aplikacji na Androida wykrada dane użytkowników

Tysiące aplikacji na Androida wykrada dane użytkowników

5 maja 2015 0 przez Marcin Kaczmarek

Jeśli zastanawialiście się, czemu wiele aplikacji
instalowanych na smartfonach (czy tabletach) z Androidem żąda przydzielenia
zaskakująco wysokich uprawnień, pewnie domyśliliście się, że chodzi o handel Waszymi
prywatnymi danymi. Nie chodzi bynajmniej o Wasze pliki, ale informacje na temat Waszego wieku, miejsca zamieszkania, zainteresowań itp. Tak, by móc precyzyjniej dopasować reklamy. Francuska firma Eurecom
przeprowadziła właśnie eksperyment, który to dobitnie potwierdził.

Inżynierowie firmy na potrzeby eksperymentu użyli telefonu
Samsung Galaxy S III Mini z systemem Android 4.1.2, na którym zainstalowali
2146 darmowych aplikacji (ze wszystkich 25 kategorii), pobranych ze sklepu Google Play. Telefon został jednak
specjalnie spreparowany – łączył się z siecią VPN, a cały ruch opuszczający
urządzenie był monitorowany przy pomocy narzędzi tcpdump oraz tshark. Z
wysyłanych przez smartfon pakietów wyciągane były adresy URL, z którymi łączyły
się poszczególne aplikacje. Adresy te zostały potem porównane z listą EasyList
zawierającą dane serwerów reklamowych (listy tej używa m.in. popularna wtyczka
AdBlock Plus), a także skanowane narzędziem Virustotal, które ma własną bazę „szkodliwych”
adresów URL.

Okazało się, że aż 10% z przetestowanych aplikacji łączyło
się średnio z 500 różnymi adresami URL (!), a rekordowe programy nawiązywały
połączenie z ponad 1000 różnych adresów (!!!). Dwie trzecie z przetestowanych
aplikacji łączyło się średnio z 40 adresami stron serwujących reklamy. Około
30% aplikacji przesyłało dane do serwisów śledzących użytkowników – niechlubną rekordzistką
okazała się aplikacja Eurosport Player, która transmitowała dane do przeszło
800 serwisów (!).

Aby uchronić użytkowników przed działaniem wspomnianych
aplikacji, programiści z Eurecom opracowali aplikację NoSuchApp, która
umożliwia analizę danych wysyłanych przez wszystkie aplikacje zainstalowane na
smartfonie. NoSuchApp nie trafił jeszcze do sklepu Google Play, pierwszą
publiczną wersję aplikacji można pobrać z konta Dropbox twórców programu.
Ponieważ obecnie konto to jest oblężone przez użytkowników, którzy próbują pobrać aplikację, umieszczamy
ją również na naszych serwerach. Pobrać go można od nas stąd (plik APK).


Źródło: MIT Technology Review