Vedci z Katedry informatiky na North Carolina State University priniesli zaujímavú štúdiu, ktorá hovorí, že viac ako polovica knižníc, ktoré vývojári používajú pri svojich reklamných prídavkoch obsahuje bezpečnostné riziká a zhromažďujú súkromné dáta.
Testu sa podrobilo 100.000 aplikácií z Google Play Store a identifikovaných bolo 100 rôznych prídavných knižníc z tretej strany, ktoré používajú vývojári Android aplikácií. Podrobná štúdia jednotlivých knižníc priniesla výsledok, ktorý by hádam nikto z nás nečakal. Prídavky obsahovali bezpečnostné chyby a zbierali o používateľovi súkromné dáta, ktoré umiestňovali na vzdialené servery.
Väčšina dát, ktoré sú takto potom zhromaždené, umožňujú reklamným prídavkom cieliť reklamu a niektoré dáta presahovali únosnú hranicu, keď na serveroch boli umiestnené napríklad logovacie súbory o hovoroch, telefónne číslo zariadenia, zoznam aplikácií.
Vrcholom všetkého bolo, že niektoré prídavky sťahovali neoverený kód priamo z internetu a tento bez overenia spúšťali, čím vytvárajú potenciálne nebezpečenstvo pre používateľov.
„Náš výskum ukazuje, symbiotický vzťah medzi vloženými reklamnými knižnicami v aplikáciách a hostiteľskými aplikáciami, ktoré sú jedným z hlavných bezpečnostných rizík. Výsledky jasne ukazujú, že je potrebná lepšia kontrola, aké reklamné knižnice sú integrované v Android aplikáciách,“ napísal Michael Grace vo vydanej správe.
Niekoľko zákerných činností jednotlivých knižníc v prehľade:
- Sosceo knižnica – história volaní používateľa, ukladanie na vzdialených serveroch
- Veľké množstvo reklamných knižníc používa Android API volanie, ktoré načíta telefónne číslo
- Mobus knižnica – číta SMS, určuje servisné stredisko
- Niektoré nahrávajú zoznam nainštalovaných aplikácií v telefóne
Mobclix má možnosť ovládať všetky senzory a používa na údaje JavaScript, ktorý však potrebuje potvrdenie. Na druhej strane, existuje niekoľko situácií, kedy tento súhlas nepýta a môže určiť polohu používateľa ak sa pohybuje na dlhšie vzdialenosti po predchádzajúcej pozícii.
Päť zo 100 zistených knižníc, obsahujú funkciu, ktorá sťahuje kód z internetu. Ak niekto využije túto možnosť, nebadane sa do telefónu môže dostať nebezpečný kód, ktorý sa stiahne a spustí na pozadí.
V jednom prípade vedecký tím objavil knižnicu, ktorá bola vložená do aplikácie a umožňovala vzdialené sledovanie komunikácie. Na všetko bol upozornený Google, aby takéto aplikácie (sedem) rýchlo odstránil zo svojej ponuky.
Spoločnosť Google opäť musí v tejto oblasti vytvoriť kontrolnú sieť, ktorá by kontrolovala dôveryhodné reklamné prídavky a reklamné siete v aplikáciách. Mal by sa vytvoriť akýsi certifikačný proces, ktorý zabezpečí, že reklamné prídavky v aplikáciách budú bezpečné.
Zdroj, foto: NCSU
a co aple store aplikacie? a co windws phone alpikacie?
to iste, robi to KAZDY
perfektna app ktora to vsetko blokuje a dava suhlas co dana app moze robit…
https://play.google.com/store/apps/details?id=com.lbe.security.lite&hl=cs
LBE Privacy Guard requires a ROOTed phone, please make sure your phone has been unlocked and ROOTed.
?? to je nutne kazdy fon s androidom rootnut ??
Ziadna aplikacia nemoze na “nerootnutom” telefone kontrolovat inu aplikaciu, pretoze vsetky standartne bezia v sandboxe (kazda ma vlastne izolovane prostredie). Preto je jasne, ze taketo bezpecnostne programy vyzaduju rootnuty smatfon…
Na druhej strane, opatrne s tym ake aplikacie si nainstalujete. Zrovna tuto robi daky cinan. Kto sa zaruci ze do nej on sam nedal daky skodlivy kod?