Как Android-приложения могут следить за местоположением в обход запретов — исследование

Издание The Verge опубликовало выдержку из исследования, посвященного безопасности Android-приложений.

Авторы работы обнаружили, что программы могут обходить запрет на получение местоположения — благодаря специальному SDK они получают эту информацию от других приложений.

Как это работает

Представим, что вы установили приложение и запретили ему получать информацию о локации. У него есть способ обойти запрет — многие приложения использует один и тот же SDK. Благодаря нему, они могут обмениваться между информацией в обход пользователя, храня ее локально в общих папках.

SDK создан китайским поисковым гигантом Baidu и аналитической фирмой Salmonads. По информации исследователей, его используют в своих приложениях Samsung и Disney. У этих программ — сотни миллионов загрузок.

Авторы работы также нашли другие способы отслеживать местоположение. Среди них: отправка MAC-адресов и SSDI-идентификаторов устройства и роутера. А фото-сервис Shutterfly даже отправлял на сервера прямые GPS-координаты, извлекая их из EXIF-метаданных снимков.

Что будет дальше

Часть проблем исправит Android Q, следующая версия операционки от Google. В ней запретят извлекать местоположение из метаданных фото. Компанию уведомили об уязвимостях еще в сентябре прошлого года и она прислушалась к запросам.

Однако проблема заключается в дистрибуции системы — по состоянию на май 2019-го, более 60% Android-смартфонов работали на Android N трехгодичной давности.