De fleste er klar over at mange mobilapper har mulighet til å spore brukeren på ulike måter, men som regel kan denne funksjonaliteten enkelt deaktiveres. Nå viser det seg at ganske så mange apper sporer deg selv om du ikke gir tillatelse, skriver Cnet.
Forskere ved International Computer Science Institute har nemlig funnet over tusen applikasjoner til Android-plattformen som samler inn informasjon om brukeren selv man eksplisitt nekter appen å gjøre dette.
Funnene ble samlet i en rapport som kan hentes i sin helhet fra hjemmesidene til Federal Trade Commission.
Undersøkte 88 000 apper
Forskerne undersøkte til sammen 88 000 apper fra Google Play-butikken og kom frem til at 1325 av disse benytter seg av ulike typer sidekanaler for å skaffe seg uautorisert tilgang til unike identifikatorer og lokasjonsdata – data som altså kan brukes til å spore brukeren.
Sidekanalene utnytter diverse sårbarheter for å skaffe seg tilgang til dataene. Én av disse sårbarhetene kan gi tilgang til MAC-adressen, som altså igjen kan brukes som en unik identifikator.
Forskerne oppdaget noen titalls apper som aktivt utnytter denne sårbarheten, men skriver i rapporten at det finnes så mye som over 12 000 apper med kode som potensielt kan brukes til utnyttelse av sårbarheten.
Det ble også oppdaget selskaper som via apper skaffer seg MAC-adressen til tilkoblede Wi-Fi-basestasjoner fra ARP-cachen (Address Resolution Protocol). Som forskerne skriver kan dette brukes som en surrogat for lokasjonsdata.
SD-sårbarhet
Andre apper har mulighet til å brukes SD-kortet som en skjult kanal. Dette skjer ved at appene skaffer seg uautorisert tilgang til IMEI-nummeret via andre apper som har tillatelse til å lese dette nummeret og som lagrer det på SD-kortet.
IMEI-nummeret (International Mobile Equipment Identity) er den internasjonale standarden for merking av mobiler og kan ses på som mobilens «fingeravtrykk». Forskerne fant et relativt lite antall som faktisk utnytter denne sårbarheten, men hele 153 har mulighet til å utnytte den.
De to mest populære av disse er Samsungs Health- og Browser-apper, som til sammen er blitt lastet ned over 500 millioner ganger.
Forskerne skriver i rapporten at de har varslet Google om funnene sine og mottatt dusør for arbeidet. Google skal ha svart at problemene vil bli fikset med den neste Android-versjonen, Android Q, som kommer senere i år.
Alle detaljene om funnene finner du i selve forskningsrapporten.
Les også: Drøssevis av VPN-tjenester har hemmelige kinesiske eiere: – Dataene dine kan være på avveie »