Čak 17.000 Android aplikacija koje svakodnevno koristimo odaju podatke o nama bez našeg znanja

Foto: Pixabay.com

Kada preuzmete neku aplikaciju, zahtev za dozvolu za pristup informacijama/funkcijama telefona i politika privatnosti obično su jedina dva upozorenja o praćenju podataka, i treba da im verujemo na reč da će uzeti samo podatke koje smo pristali da im damo.

Međutim, istraživači internet bezbednosti su otkrili da se često događa mnogo veće preuzimanje podataka, nego što su nas naveli da verujemo.

Preporučujemo

Otkriveno je da više od 1.000 mobilnih aplikacija preuzima podatke sa telefona, čak i ako ste im uskratili dozvolu. Na primer, aplikacija za praćenje „onih dana“ kod žena podelila je osetljive podatke sa Facebook-om, kao i sa drugim kompanijama. Slično ovom slučaju, aplikacije kreirane da blokiraju automatizovane pozive podelile su podatke korisnika sa kompanijama koje se bave analitikom, navodi Cnet.

U svakom trenutku kada uređaj šalje podatke, promet  i log se beleže. Vaša lokacija se evidentira kada proveravate vremensku prognozu, a ti isti podaci mogu da budu poslati oglašivačima.

Istraživači imaju alat da vide takvu vrstu logova. Oni ih zatim analiziraju kako bi shvatili koliko podataka se šalje i gde. Obično ovakva analiza prometa podataka na mreži omogućavala je pogled na to šta se dešava na javnim Wi-Fi mrežama. Međutim, poslednjih godina istraživači su analizu preselili na svoje telefone, da bi videli koje podatke aplikacije uzimaju sa telefona korisnika i šalju dalje.

Kada su „zavirili“ unutra, ustanovili su da mnoge aplikacije šalju podatke koje prevazilaze ono na šta su ljudi pristali.

- Na kraju, ostaje vam politika privatnosti koja je u suštini besmislena, jer ne opisuje šta se tačno događa. Jedini način da se odgovori na to pitanje je da se vidi šta aplikacija radi sa tim podacima - kaže Serđ Egelmen, direktor istraživanja bezbednosti i privatnosti na "Međunarodnom institutu za računarske nauke" (International Computer Science Institute).

foto: pixabay.com

Ponekad, podaci se samo prosleđuju oglašivačima, koji misle da mogu da ih koriste da prodaju proizvode. Podaci o lokaciji telefona mogu da budu „zlatni rudnik“ za oglašivače, kako bi znali gde se ljudi nalaze u određenim periodima vremena. A isto tako, podaci sakupljeni preko aplikacija mogu da odlaze i državnim službama koje koriste tehnologiju da istražuju informacije o ljudima. Nedavno, je Wall Street Journal izvestio da državne službe koriste takve podatke da bi pratili imigrante.

Ovi istraživači otkrivaju skriveni svet praćenja podataka, što podiže zabrinutost koliko zapravo ljudi daju informacija o sebi, a da toga nisu ni svesni.

Praćenje lokacije

Vil Stravak je prvi počeo da se bavi analizom prometa na mreži 2017. godine, dok je radio u kompaniji "Guardian", koja se bavi bezbednošću mobilnih telefona, a čiji je i suosnivač.

Čak i kada je GPS isključen na telefonu, Stravak je otkrio „rupe“ koje omogućavaju praćenje podataka, kao što je prikupljanje informacija o lokaciji kada je telefon povezan na Wi-Fi mrežu.

Veličina problema je izašla na videlo kada je otkriveno da AccuWeather, popularna aplikacija za vremensku prognozu, šalje podatke o lokaciji korisnika, čak i kada je opcija za deljenje lokacije isključena.

Prema rečima Stravaka, to je za njega tada prešlo granicu od „ovo je problem“ do „ovo mora odmah da prestane“. AccuWeather nije odgovorio na zahtev da daju svoj komentar.

Stravak je ustanovio da sakriveno praćenje lokacije kao što je kod AccuWeather-a predstavlja jedan od najvećih problema privatnosti kod mobilnih aplikacija. Ljudi daju dozvolu aplikacijama za svrhu koja im je potrebna, kao što je pronalazak najjeftinije benzinske stanice u okolini, ali ne shvataju da se u pozadini informacije dele sa brokerima podataka.

Za razliku od malvera, zlonamernih softvera, koje Stravak takođe istražuje, ove aplikacije su dopuštene na Google i Apple marketima, a u nekim slučajevima dolaze predinstalirane, zajedno sa mobilnim uređajem. Zato je istraživanje ovih aplikacija postao novi fokus za Stravaka.

Foto: Pixabay

Često nije reč samo o jednoj aplikaciji. Reč je o načinu kako su povezani, o sakrivenoj mreži podaka u kodu koja im pomaže da izgrade sveobuhvatnu sliku o nekome i šta on radi. Iako kompanije tvrde da su podaci anonimni, potrebno je malo napora kako bi se utvrdilo ko je osoba, a na osnovu lokacije, vremena i aktivnosti koje se mogu prikupiti.

Na Međunarodnom institutu za računarske nauke na Univerzitetu Kalifornije u Berkliju, Serž Egelman vodi tim od oko 10 istraživača u laboratoriji, u kojoj koristi više prilagođenih Android telefona programiranih za pretraživanje novih aplikacija u Google Play Store-u i otkrivanje podataka koje svaka aplikacija uzima sa uređaja.

Njihov alat traži nove aplikacije i dodaje ih u bazu podataka, a koje se u bazi proveravaju na svake dve nedelje da bi se utvrdilo da li su im dodati novi softveri za praćenje.

Egelman je 2019. objavio istraživanje u kojem je opisano kako oko 17.000 Android aplikacija kreira trajni zapis aktivnosti uređaja. Više od godinu dana kasnije, kako kaže, ništa se nije promenilo.

Printskrin: play.google.com/apple.com

Šta možemo da uradimo da bismo se zaštitili?

Jedino što za sada može da se uradi, to je da se ne preuzimaju aplikacije koje ovo rade. Egelman je uzeo svoj alat iz istraživanja i pretvorio ga u metod koji ljudi mogu da koriste kako bi proverili aplikacije koje imaju na svojim uređajima.

Naravno, on ne očekuje da će svaka osoba odjednom naučiti kako da radi analizu mrežnog saobraćaja, niti će ljudi to želeti.

- Ako je potreban tim istraživača koji pišu svoje sopstvene softvere i istražuju mrežni saobraćaj da bi shvatili o čemu se tačno radi, svakako nije razumno očekivati od prosečnog potrošača da uradi isto. Umesto toga, potrebne su nadzorne grupe i regulatorna tela. Oni bi trebalo to da rade, a ne potrošači – kaže Egelman.

On je ponudio svoj alat preko aplikacije koja se zove AppCensus, a koja omogućava korisniku pretraživanje aplikacija i uvid koji su podaci poslati i koji se šalju. Tim takođe radi na aplikaciji koja će upozoriti vlasnika telefona kada god se identifikacioni podaci šalju softverima za praćenje.

Za preuzimanje je dostupan i alat CharlesProxy, koji radi presretanje mrežnog saobraćaja i sa kompjutera i sa mobilnog uređaja.

Vil Stravak kaže da njegova kompanija radi na ažuriranju bezbednosne aplikacije koja će obaveštavati ljude kada god neka aplikacija uzme više podataka sa telefona nego što je trebala.

(Telegraf.rs/T.T.)