Oldindan o’rnatilgan Android ilovalari foydalanuvchi ma’lumotlarini to’playdi
Ilovalar qurilma jurnallariga, boshqa ilovalarga, tarmoq sozlamalariga va boshqalarga kirish huquqiga ega.
Ispaniyaning Karlos III de Madrid universiteti, IMDEA Networks Institute notijorat tashkiloti va Stony Brook universiteti (AQSh) tadqiqotchilari 130 mamlakatdagi 214 sotuvchidan 1742 ta qurilmaga oldindan o’rnatilgan 82 501 ta ilovani tahlil qilishdi. Mutaxassislarning fikriga ko’ra, oldindan o’rnatilgan ilovalar Google Play Store orqali o’rnatilgan shunga o’xshash ilovalarga qaraganda juda boshqacha kirish darajasiga ega. Androidning manba kodi ommaga ochiq bo’lgani uchun, qurilma ishlab chiqaruvchilari sotuvdan oldin paketli ilovalarni qo’shish orqali operatsion tizimni sozlashlari mumkin. Bu ilovalarni ko’pincha olib tashlash mumkin emas va Google ularning xavfsizligini Google Play Store’dagi ilovalar kabi batafsil tekshirmaydi. Tadqiqotchilar oldindan o’rnatilgan ko’plab ilovalar juda bezovta qiluvchi ruxsatlarni so’rashini, foydalanuvchi ma’lumotlarini to’plashini va reklama beruvchilarga yuborishini yoki ko’pincha yamoqlanmagan zaifliklarni o’z ichiga olishini aniqladilar.
Oldindan o’rnatilgan ilovalarda aniqlangan yana bir muammo – bu uchinchi tomon kutubxonalaridan (SDKlar, dasturiy ta’minotni ishlab chiqish to’plamlari) foydalanish bo’lib, ular ko’pincha reklama uchun ma’lumotlarni to’plash yoki shunchaki foydalanuvchilarni kuzatish uchun ishlatiladi. Mutaxassislar jami 12 000 ta ilovada 164 ta reklama SDKlarini va taxminan 7000 ta ilovada 100 ta turli xil tahlil kutubxonalarini topdilar.
Tadqiqot shuni ko’rsatdiki, ba’zi dasturlar qurilma jurnallariga, o’rnatilgan ilovalarga, tarmoq sozlamalariga kirish huquqiga ega bo’ldi va hatto kodni bajarishga ham muvaffaq bo’ldi.
Mutaxassislar shuningdek, muhim holatlarga duch kelishdi: ba’zi qurilmalarda (asosan byudjetli smartfonlarda) ular Triada, Rootnik, Snowfox, Xinyin, Ztorg, Iop va boshqalar kabi ma’lum zararli dasturlarni aniqladilar. Nihoyat, ular qurilma va operatsion tizimga (shu jumladan super foydalanuvchi huquqlariga) nihoyatda yuqori darajadagi kirish huquqini beruvchi zavod/muhandislik kodini o’z ichiga olgan 612 ta ilovani aniqladilar. Tadqiqotchilarning ishi haqida batafsil ma’lumotni bu yerdan topishingiz mumkin.
