Studiu: aplicaţiile Android abuzează de drepturile de acces acordate de către utilizatori

Aplicaţiile Android necesită diverse drepturi de acces pentru a putea interacţiona cu modulele critice ale sistemului de operare, utilizatorii platformei software Google fiind familiarizaţi cu lista permisiunilor care este afişată în momentul instalării. Sistemul de management al acestor drepturi de acces este destul de uşor de înţeles dar totodată şi foarte limitat din punct de vedere al utilităţii pentru că nu permite ajustări ulterioare, iar acest lucru este dezamăgitor deoarece un studiu întocmit de către două organizaţii franceze ne arată că aplicaţiile pot face tot ce le trece prin cap odată ce au primit aprobările necesare.

Google s-a gândit la un moment dat să implementeze un sistem pentru controlul amănunţit al drepturilor de acces la nivelul fiecărei aplicaţii în parte, însă opţiunea a rămas ascunsă în Android 4.3 şi a fost eliminată complet odată cu Android 4.4.2. Unii producători, cum ar fi de pildă Huawei, au implementat propriul sistem de control al drepturilor de acces, iar cei care încă mai folosesc Jelly Bean pot accesa meniul ascuns App Ops cu ajutorul unei aplicaţii separate. În cazul în care nu vă încadraţi în nici una dintre aceste două situaţii, sistemul de operare nu vă oferă nici o posibilitate de control, iar acest lucru este deranjant deoarece studiul francezilor arată că sistemul drepturilor de acces poate fi abuzat fără nici o problemă de către producătorii de aplicaţii.  

Studiul a fost întocmit de către organizaţiile franceze INRIA (Institut national de recherche en informatique et en automatique) şi CNIL (Commission nationale de l’informatique et des libertés) pe un grup de zece voluntari. Timp de trei luni, aceştia au folosit telefoane Android pe care a fost instalat un software special pentru monitorizarea aplicaţiilor, iar concluziile sunt destul de îngrijorătoare.

Din cele 121 de aplicaţii utilizate în mod constant de către cei zece voluntari, două treimi au accesat cel puţin un tip de informaţie cu caracter personal, un sfert dintre acestea au accesat cel puţin două informaţii de acest tip iar o şesime au accesat trei sau mai multe tipuri de date. Informaţiile colectate sunt folosite pentru crearea profilurilor de utilizator şi pentru furnizarea de conţinut publicitar personalizat, iar utilizatorii Android au la dispoziţie doar un sistem simplu pentru resetarea parametrului Advertising ID care poate fi ocolit cu uşurinţă. Cea mai populară informaţie cu caracter personal a fost geo-localizarea, coordonatele geografice fiind accesate cel puţin o dată de o treime din cele 121 de aplicaţii şi reprezentând tot o treime din numărul total de accesări ale datelor cu caracter personal.

Conform studiului, creatorii de aplicaţii software nu au nevoie de prea multe date cu caracter personal pentru a putea construit un profil de utilizator. Aplicaţiile care au acces la conexiunea de date sau cea wireless pot identifica utilizatorul pe baza adresei MAC, pot urmări punctele de acces detectate pentru a crea o harta a deplasărilor şi pot corobora aceste date cu ora pentru a vedea care utilizatori au fost în acelaşi loc în aceeaşi perioadă de timp.

Mai îngrijorătoare decât această indiscreţie constantă este agresivitatea unora dintre aplicaţii.  În cele trei luni ale studiului, aplicaţia Facebook instalată pe telefonul unuia dintre voluntari a accesat informaţiile de geo-localizare de 150.000 de ori, adică la fiecare aproximativ 45 de secunde. Printre produsele care s-au făcut remarcate în mod negativ s-a numărat un joc nespecificat care a accesat geo-localizarea de 30000 de ori doar pentru afişarea reclamelor şi o aplicaţie, şi ea nespecificată, care a accesat aceste informaţii de nu mai puţin de un milion de ori într-o singură lună.

Concluzia studiului întocmit de francezi este destul de uşor de ghicit. Aceştia consideră că producătorii de aplicaţii, şi în special producătorii sistemelor de operare, trebuie să acorde mai multă atenţie modului în care funcţionează produsele lor, să ofere instrumente mai bune pentru controlul accesului la datele personale şi să-şi proiecteze produsele software ţinând cont în primul rând de intimitatea utilizatorilor.

CNIL şi INRIA au întocmit acum un an şi jumătate un studiu similar pe platforma iOS şi rezultatele au fost la fel de dezamăgitoare, însă telefoanele de test au folosit versiunea 5 a platformei Apple şi nu a beneficiat de anumite metode de protecţie sau restricţii apărute ulterior. Cele două organizaţii au promis că vor actualiza testul iOS cu rezultate noi şi vom vedea atunci dacă lucrurile s-au îmbunătăţit între timp.