Vedci z Katedry informatiky na North Carolina State University priniesli zaujímavú štúdiu, ktorá hovorí, že viac ako polovica knižníc, ktoré vývojári používajú pri svojich reklamných prídavkoch obsahuje bezpečnostné riziká a zhromažďujú súkromné dáta.
Testu sa podrobilo 100.000 aplikácií z Google Play Store a identifikovaných bolo 100 rôznych prídavných knižníc z tretej strany, ktoré používajú vývojári Android aplikácií. Podrobná štúdia jednotlivých knižníc priniesla výsledok, ktorý by hádam nikto z nás nečakal. Prídavky obsahovali bezpečnostné chyby a zbierali o používateľovi súkromné dáta, ktoré umiestňovali na vzdialené servery.
Väčšina dát, ktoré sú takto potom zhromaždené, umožňujú reklamným prídavkom cieliť reklamu a niektoré dáta presahovali únosnú hranicu, keď na serveroch boli umiestnené napríklad logovacie súbory o hovoroch, telefónne číslo zariadenia, zoznam aplikácií.
Vrcholom všetkého bolo, že niektoré prídavky sťahovali neoverený kód priamo z internetu a tento bez overenia spúšťali, čím vytvárajú potenciálne nebezpečenstvo pre používateľov.
„Náš výskum ukazuje, symbiotický vzťah medzi vloženými reklamnými knižnicami v aplikáciách a hostiteľskými aplikáciami, ktoré sú jedným z hlavných bezpečnostných rizík. Výsledky jasne ukazujú, že je potrebná lepšia kontrola, aké reklamné knižnice sú integrované v Android aplikáciách,“ napísal Michael Grace vo vydanej správe.
Niekoľko zákerných činností jednotlivých knižníc v prehľade:
- Sosceo knižnica – história volaní používateľa, ukladanie na vzdialených serveroch
- Veľké množstvo reklamných knižníc používa Android API volanie, ktoré načíta telefónne číslo
- Mobus knižnica – číta SMS, určuje servisné stredisko
- Niektoré nahrávajú zoznam nainštalovaných aplikácií v telefóne
Mobclix má možnosť ovládať všetky senzory a používa na údaje JavaScript, ktorý však potrebuje potvrdenie. Na druhej strane, existuje niekoľko situácií, kedy tento súhlas nepýta a môže určiť polohu používateľa ak sa pohybuje na dlhšie vzdialenosti po predchádzajúcej pozícii.
Päť zo 100 zistených knižníc, obsahujú funkciu, ktorá sťahuje kód z internetu. Ak niekto využije túto možnosť, nebadane sa do telefónu môže dostať nebezpečný kód, ktorý sa stiahne a spustí na pozadí.
V jednom prípade vedecký tím objavil knižnicu, ktorá bola vložená do aplikácie a umožňovala vzdialené sledovanie komunikácie. Na všetko bol upozornený Google, aby takéto aplikácie (sedem) rýchlo odstránil zo svojej ponuky.
Spoločnosť Google opäť musí v tejto oblasti vytvoriť kontrolnú sieť, ktorá by kontrolovala dôveryhodné reklamné prídavky a reklamné siete v aplikáciách. Mal by sa vytvoriť akýsi certifikačný proces, ktorý zabezpečí, že reklamné prídavky v aplikáciách budú bezpečné.
Zdroj, foto: NCSU