Android приложения могат да следят други приложения на мобилното устройство на потребителя и да изпращат откритата информация на сенчести рекламни компании, издавайки за всеки потребител много повече, отколкото би му харесало.
Новината се появи тази седмица в статия на изследователи от Италия, Холандия и Швейцария, за която съобщава Sophos. „Центърът за нарушения на поверителността” се фокусира върху инсталираните приложни методи (IAM), които са приложни програмни интерфейси (API), позволяващи на приложенията да взаимодействат с друг софтуер на съответния телефон, без да съобщават на потребителя за това.
Има легални приложения за IAM. Например, приложение като VPN, софтуер за резервиране или защитна стена може да ги използва за сътрудничество с друг инсталиран софтуер. Приложенията за достъпност могат да използват IAM, за да направят други видове софтуер по-използваем за хората с увреждания. Това е добре, но не всички реални приложения на технологията са в интерес на потребителя.
Изследователите са проучили 14 342 безплатни приложения за Android в Google Play Store, както и 7 886 приложения с отворен код за Android. Те анализирали използването на IAM API и провели анкета с разработчиците на приложения, за да преценят доколко са наясно какво правят приложенията (участвали са 70 разработчици).
Най-разпространената информация, събрана чрез IAM, е приложение, което отчита само имената на другите инсталирани приложения на същото устройство. Това само по себе си може да разкрие много за потребителя на телефона.
Документът цитира други изследвания, показващи, че е възможно, знаейки какви приложения ползва някой, да се направят изводи за него – включително пол, религия, статус на връзката и държави, които представляват интерес за човека. Може дори да се предскажат големи житейски събития в живота на потребителя като брак и раждане на дете – при това с точност до 87%.
Не е изненада, че комерсиалните приложения са склонни да използват IAM много повече. 4 214 такива програми са използвали IAM – в сравнение с едва 228 приложения с отворен код. Най-популярните видове търговски приложения, използващи тази техника, са игрите – 73%.
Повечето от комерсиалните приложения, които „слухтят” другите приложения на смартфона, не го правят чрез собствения си код. Вместо това 83,66% от тези заявки идват от библиотеки на трети страни, които приложенията използват. Повече от една трета (36%) от тези библиотеки са класифицирани като „свързани с реклами”.
В много случаи разработчиците на приложения не са знаели, че тези библиотеки изобщо се използват. Един дори е запитал коя точно част от кода осъществява връзката, за да може да я премахне.
Фактът, че разработчиците не винаги знаят какво правят техните приложения, е тревожен и отваря две възможности. Първата е Google да наложи по-строг контрол върху използването им. Другата опция е потребители, които държат на поверителността, да „попълнят пропуските”.
Изследователите препоръчват потребителите да използват услуги за проверка като Virus Total какви дейности извършва всяко приложение и да се съсредоточат върху тези, които може да са свързани с изкарване на пари от реклами.
Според изследователите, Google е наясно с проблема и се опитва да намери подходящо решение. Компанията е замислила въвеждането на таг <queries>, който предполага приложенията да описват към какви други приложения правят запитвания. Очаква се това нововъведение да се появи в Android 11.
Но според изследователите, това само по себе си пак не е достатъчно. Слухтенето, което приложенията правят, остава скрито за потребителя, обясняват учените. Проблемът съществува и при iOS, но се твърди, Apple е много по-напред в решаването му, в сравнение с Google.
Така или иначе изводът тук е един: без значение колко рекламни блокери и други инструменти инсталира потребителят, вечно жадните за данни компании продължават да намират нови и нови начини да слухтят и да изсмукват данни за потребителя „извън радара” – данни, които могат да използват, за да профилират по-точно всеки потребител.
Всичко това ще продължи да разрушава доверието към мобилните приложения. Не е ли време е за по-честна екосистема от приложения?
Никой не се интересува от теб лично, не се притеснявай.
Нищо чудно, ако се върнат евтините телефони с хардуерна клавиатура. Разни сенчести корпорации следят стотици милиони потребители като военнопрестъпници. Ако наистина ме следят, ще си снимам хоя всеки ден, щом съм им толкова интересен.