למרות מאמציה של גוגל (Google) לשפר את אבטחת המידע האישי של משתמשי אנדרואיד (Android) בשנים האחרונות, אפליקציות רבות עדיין מצליחות לגשת למידע שהמשתמשים לא אישרו להן לגשת אליו. כך עולה ממחקר שערכו במכון הבינלאומי למדעי המחשב, באוניברסיטת ברקלי ובמוסדות נוספים, ונחשף בחודש שעבר בוועידה שערכה נציבות הסחר האמריקאית.

החוקרים יצרו גרסה ייעודית של אנדרואיד, המנטרת את המידע שאפליקציות ניגשות אליו, ובדקו כ-88,000 אפליקציות ב-Google Play. מתוכן, 1,325 הצליחו לדברי המדענים לעקוף את מנגנון ההרשאות של אנדרואיד.

החוקרים נתנו מספר דוגמאות לדרכים בהן משתמשות אפליקציות כדי להגיע למידע ללא הרשאות. כך, לדוגמה, אפליקציית עריכת התמונות Shutterfly ניצלה את ההרשאה 'גישה לתמונות במכשיר' כדי לעקוף את ההגדרות ולהשיג הרשאת גישה למיקום. האפליקציה קראה את נתוני המיקום המשולבים בתמונות ושלחה אותם לשרת שלה. אפליקציות אחרות ניצלו את הגישה ל-WiFi כדי לקרוא את הכתובת של הנתב אליו מחובר הטלפון וכך להגיע בעקיפין למיקום המכשיר.

מעקף אחר בו השתמשו 153 אפליקציות, בהן אלו של דיסנילנד הונג-קונג ודיסנילנד שנגחאי, ניצל את העובדה שאפליקציות אחרות עם גישה ל-IMEI, קוד הזיהוי הייחודי לכל טלפון בעולם, מאחסנות אותו באופן לא מוצפן. כך, גישה לקבצים בזיכרון המכשיר הפכה בעקיפין לגישה למזהה הייחודי שלו. החוקרים ציינו כי כמה אפליקציות שהשתמשו במעקף הזה הותקנו לפחות 17 מיליון פעם.

גוגל יודעת על המחקר הזה כבר מספטמבר 2018 – אך במקום לתקן את הליקויים בעדכוני האבטחה החודשיים לגרסאות אנדרואיד הקיימות, היא הסתפקה בהבטחה כי הליקויים יתוקנו באנדרואיד Q.

קרא עוד:  פרצת אבטחה בבטא של iOS 13 מאפשרת גישה לסיסמאות

החוקרים הבטיחו פרטים נוספים על המחקר, כמו גם רשימה של כל האפליקציות שעקפו את מנגנון ההרשאות, ב-15 באוגוסט, כאשר יציגו את ממצאיהם בוועידת Usenix.