Исследователи изучили более 17 000 приложений для Android, чтобы убедиться в отсутствии слежки

Специалисты из Северо-западного университета и Калифорнийского университета в Санта-Барбаре решили проверить, действительно ли мобильные приложения следят за пользователями, подслушивают и подсматривают.

Изучив поведение 17 260 приложений для Android, исследователи пришли к выводу, что приложения не используют доступ к камерам и микрофонам устройств для скрытой слежки за владельцами гаджетов. Тем не менее, иногда они могут делать снимки экрана и загружать их на удаленные серверы.


В общей сложности специалисты проанализировали поведение 15 627 приложений, взятых из Google Play Store, и приложения из сторонних каталогов: 510 приложениях из AppChina, 528 приложений из Mi.com, а также 285 приложений с портала Anzhi.

Общая статистика по изученным приложениям

Исследователи проверяли, какие приложения и как часто запрашивают права доступа к камере и микрофону устройства. Код каких приложений содержит вызовы функций API, специфические для сбора мультимедийных данных (обращения к Audio API, Camera API, Screen Capture API). Также устанавливалось, были ли эти API reference’ы прописаны в код авторами самого приложения, или же являлись продуктом работы сторонних библиотек, которые использует приложение.

Как оказалось, лишь малое количество приложений действительно используют имеющийся у них доступ к камере и микрофону устройства по назначению. Впрочем, специалисты предупреждают, что потенциальный риск все равно велик, ведь разработчики в любой момент времени могут обновить свой продукт, и ранее неиспользуемыми правами может воспользоваться сторонний код, который был добавлен в приложение.

«Более того, сторонний код, не имеющий прав на использование мультимедиа в одной версии приложения, затем может не по назначению воспользоваться правами, выданными будущим версиям приложения», — пишут исследователи.

Среди 17 260 изученных приложений специалистам удалось обнаружить лишь 21 приложение, которое записывало и передавало вовне мультимедийные данные. 12 из них либо передавали данные в виде простого текста (HTTP), либо из-за ошибок в коде делали снимки экрана устройства и загружали их в сеть. Оставшиеся 9 приложений загружали изображения на облачные серверы для редактирования, однако не информировали об этом пользователей, что тоже рассматривается как утечка.

Проблемные приложения

Хотя специалистам фактически не удалось обнаружить приложений, которые используют камеры и микрофоны для слежки за людьми, исследователи предупреждают, что не менее серьезной угрозой является использование сторонних библиотек. Как уже было сказано выше, такие библиотеки могут начать использовать давно полученные приложением права в своих целях. Из-за этого специалисты считают, что разработчикам Android стоит запретить сторонним библиотекам использовать функции «материнских» приложений без разрешения.

«Так, [сторонние библиотеки] могут использоваться для захвата экрана приложения, в которое их встроили. Для этого им не нужны отдельные разрешения. Приложения часто отображают конфиденциальную информацию, и такое поведение грозит пользователям незаметным, скрытым мониторингом со стороны третьих лиц», — резюмируют специалисты.