Запрещая в настройках смартфона программе доступ к данным о координатах, пользователь рассчитывает, что решил проблему с отслеживанием местоположения. Однако исследователи выяснили, что это не так: более тысячи приложений научились обходить встроенные в операционную систему Google ограничения.
Проблема в том, что если на смартфоне данные о местоположении доступны хотя бы одной программе, она может при определённых условиях поделиться сведениями либо оставить их в общедоступном хранилище. Таким образом, воспользоваться ими может и вредоносное ПО. О выявленной уязвимости говорится в исследовании, представленном накануне на конференции PrivacyCon.
Произойти такое может, если два приложения созданы с применением одного и того же набора инструментов разработчика (SDK). По информации исследователей, доступ к данным могут иметь и создатели "проблемных" SDK — китайская Baidu и аналитическая компания Salmonads. C помощью этих инструментариев были разработаны тысячи размещённых в Google Play приложений, включая некоторые программы Samsung и Disney.
Команда исследователей выявила ещё ряд уязвимостей, позволяющих приложениям узнавать местоположение пользователя без разрешения: например, по уникальному MAC-адресу роутера или по имени беспроводной сети. А фотоприложение Shutterfly оправляло на серверы координаты устройства, беря их в EXIF-метаданных снимков, сделанных смартфоном.
Google проинформировали о многих из этих уязвимостей ещё в сентябре прошлого года. Некоторые из них пропатчат в очередной версии операционной системы Android, Q, официальный релиз которой ожидается до конца лета. Тем не менее, учитывая в целом печальную ситуацию с оперативностью крупных системных обновлений на Android, получат "заплатки" не все и далеко не сразу.
НИКОЛАЙ БЕЛКИН 09.07.2019 11:47
Источник новости: hitech.vesti.ru