Výskumníci zistili, že tisíce aplikácií pre Android môžu zistiť polohu zariadenia z metadát aj napriek zákazu v povoleniach. 

Ak určitej aplikácii v Androide zakážeme v povoleniach prístup k polohe zariadenia, očakávame, že k nej prístup skutočne nezíska. Ako informuje The Verge, zdá sa, že niektoré aplikácie a ich vývojári našli spôsob, ako povolenia systému Android obísť. Na zistenie polohy totižto stačí nielen GPS, ale aj iné metadáta obsahujúce jednoznačný identifikátor zariadenia.

Zobraziť celú galériu (1)

Flickr/howtostartablogonline.net

Problémom je fakt, že napriek zákazu prístupu jednej aplikácie k údajom metadát, ktoré obsahujú jedinečné identifikátory, môže naopak povolenie tohto prístupu inej aplikácii pomôcť tej prvej. V jednoduchosti môže aplikácia s povoleniami zdieľať dáta s aplikáciou, ktorá ich nemá. Tieto aplikácie dokonca nemusia byť od rovnakého vývojára a nemusia byť vôbec príbuzné.

Problémy spôsobuje prístup k metadátam aplikácii z rovnakého SDK balíka

Dôvodom je využitie rovnakého softvérového vývojárskeho balíka SDK pri budovaní týchto aplikácii. Ten im dovoľuje pristupovať k spomínaným metadátam uloženým v smartfóne a existujú dôkazy, že niektoré aplikácie to skutočne robia. Príkladom môžu byť aplikácie budované pomocou balíka SDK od čínskeho vyhľadávacieho giganta Baido a analytickej firmy Salmonads. Podľa štúdie prezentovanej na PrivacyCon 2019 boli týmto balíkom budované aplikácie od Samsungu či Disney.

Zobraziť celú galériu (1)

Disney - jedná z aplikácií, ktorá bola vybudovaná použitím balíka SDK od Baido

Bolo dokázané, že spomínané aplikácie, ktoré boli mimochodom stiahnuté viac než miliónkrát, dokážu medzi sebou zdieľať metadáta obsahujúce jedinečné identifikátory a odosielať ich na svoje servery. Z týchto dát dokážu vyčítať jedinečnú MAC adresu sieťového čipu, routra, bezdrôtového prístupového bodu či jeho SSID. Práve tieto informácie stačia k aspoň približnej lokalizácii zariadenia.

Problém vyrieši Android Q, no bude to stačiť?

Tieto problémy už nahlásili výskumníci Googlu. Zdá sa, že tieto problémy budú vyriešené v najnovšej verzii Androidu Q. Hoci je to dobrá správa, na druhej strane visí veľký otáznik. Najnovšiu verziu Androidu Q dostanú zariadenia staršie nie viac ako 2 roky. Aj to záleží od výrobcu smartfónu, či a kedy dostanú aktualizáciu. Veľa starších smartfónov tak zostane bez ochrany. Google zatiaľ spomínané zraniteľnosti nekomentoval, a tak zostáva používateľom dúfať, že ich opraví aspoň v rámci bezpečnostných záplat.