Mange Android-apps tracker dig selvom du har bedt dem lade være
For godt og vel et halvt år siden indrømmede Google-direktøren Sundai Pichai, at Google kunne blive bedre til at hjælpe sine brugere med at forstå, hvordan de kan beskytte sit privatliv og integritet bedre. Det skete ved en samtale med medlemmer af den amerikanske kongres. Desværre lader det ikke til at virket særlig godt.
Tusindvis af Android-apps misbruger tilladelser
Det nyeste eksempel på det kommer fra en undersøgelse, der blev præsenteret ved PrivacyCon 2019. Forskerne fandt tusindvis af Android-apps, der potentielt misbruger Android-systemets tilladelse til at indsamle data og potentielt afslører følsom information om brugere, deriblandt brugernes lokation.
Det mest oprørende er dog, at, ifølge forskerne, en app, der har adgang til dine oplysninger, kan dele den information med en anden app, der ikke har adgang og tilladelse til at indsamle data fra dig.
The Verge har lavet en meget sigende sammenligning med den situation, hvor et barn først spørger den ene forælder om lov, får nej, og derefter spørger den anden forælder, der ender med at sige ja. Den slags er ifølge forskerne muligt, hvis appene er bygget med samme SDKer.
Forskerne fandt også andre problemer og svage punkter, blandt andet mulighed for at der bliver sendt data som dit trådløse accesspoint og din routers unikke MAC-adresse ”hjem”. Den slags data er mere eller mindre at ligestille med din placering, fortalte Serge Egelman, der er forskningschef ved Usable Security and Privacy Group ved International Computer Science Institute, da han præsenterede resultaterne af undersøgelsen.
Blandt de apps, der udpeges i undersøgelsen, er apps fra for eksempel Samsung, der er lavet på SDKer bygget af Salamonads og Baidu. To af de apps er Samsung Health- og Browser-apps, der hver har mere end en halv milliard installationer.
Også to Disney-apps peges ud, begge apps til Disneys forlystelsesparker, den ene i Shanghai, den anden i Hong Kong.
Får adgang til IMEI-nummer
Forskerne fortæller, at Baidu SDKen kan omgå Androids tilladelsessystem og få adgang til enhedens IMEI, der er en unik cifferkode, hver telefon har. De har ligeledes fundet tredjeparts biblioteker, der kommer fra de to kinesiske selskaber. De benytter SD-kort som en hemmelig kanal. Det gør, at når en app kan aflæse en telefons IMEI, gemmer den koden for de apps, der ikke kan aflæse den. Undersøgelsen kom frem til 159 apps med potentiale til at udnytte denne hemmelige kanal, hvor 13 af dem rent faktisk gør det.
En anden app, der peges ud i undersøgelsen, er foto-appen Shutterfly. Den sender efter sigende koordinater til selskabers servere uden at spørge om lov. Det foregår via billeders metadata. Siden har Shutterfly dog sendt en pressemeddelelse ud, hvor de benægter, at de tracker brugerne uden tilladelse.
Forskerne bag undersøgelsen siger, at de har kontaktet Google og fortalte om resultaterne. Nogle af problemerne vil blive rettet med Android Q. Egelman mener dog ikke, at det er godt nok, slet ikke med tanke på Pichais udtalelse om, at retten til privatliv og integritet ikke skal være en luksusvare. Selvom visse ting bliver rettet i Android Q, hjælper det jo ikke de brugere, der har ældre telefoner og derfor ikke får opdateringen.
Google har overfor The Verge forklaret, at de vil fortsætte med arbejde på sagen, ikke mindst i og med Android Q, der som standard vil gemme geolokationsdata fra billeder