Система разрешений – это одно из самых полезных нововведений, которые когда-либо появлялись в Android. Благодаря ей пользователи могут самостоятельно контролировать, какую информацию собирают приложения и к каким компонентам операционной системы они имеют доступ. Если вы не хотите, чтобы приложение-фонарик читало ваши сообщения или отслеживало ваши перемещения, просто запретите ему это делать и спите себе спокойно. Но это в теории. На практике все оказалось несколько иначе.

Исследователи Университетов Калгари, Карлоса III Мадридского и Бёркли изучили Google Play на предмет приложений, способных обходить систему разрешений, и насчитали таких более тысячи из 88 тысяч изученных. Большинство из них – это сторонние приложения камеры вроде Shutterfly, которые отслеживают место создания снимка, даже если пользователь запретил им доступ к службам геолокации.

Приложения-шпионы для Android

Как правило, такие приложения получают данные, доступ к которым им запрещен, у других приложений. Сторонним камерам это сделать проще всего. Они по умолчанию связываются со штатным приложением, получая доступ к его API. Однако часть приложений-нарушителей «вытягивают» данные не только у других приложений, но и из карты памяти, которые в большинстве случаев не обладают той же защитой, что и штатное хранилище.

Само по себе то, что приложения могут обойти систему разрешений и прочесть данные, доступ к которым им закрыт, — это грубейший баг операционной системы. Примечательно, что Google знает о его существовании и обещает исправить, но только в Android Q, где появится специальный механизм, который будет отслеживать, какие сведения получают сторонние приложения. А всем остальным, коих большинство, придется мириться с тем, что их конфиденциальность не стоит для Google и выеденного яйца.