Однако разрешения — это лишь небольшая часть истории конфиденциальности Android-приложений.Новое исследование, проведенное Геварой Нубиром из Northeastern и его коллегами, показывает, что приложениями Android можно манипулировать, чтобы проникнуть внутрь вашего мобильного телефона и отслеживать ваше местонахождение и схемы трафика, и все это без вашего ведома и согласия.
Исследователи знают это, потому что они создали приложение для Android и протестировали его.Их система использует алгоритм, который вставляет данные со встроенных датчиков телефона в графики мировых дорог. Исследователи применили алгоритм к различным смоделированным и реальным дорожным поездкам.
Затем для каждой поездки система генерировала пять наиболее вероятных маршрутов. Самые свежие результаты?
Вероятность того, что пройденный путь составляет 50 процентов, была одной из пяти.«За 25 долларов каждый может разместить приложение в Google Play, магазине приложений для Android», — говорит Нубир, профессор Колледжа компьютерных и информационных наук. «Некоторые из них могут быть вредоносными — их никто не проверяет».Если приложение Android хочет получить доступ к конфиденциальной информации пользователя, такой как местоположение, оно должно сообщить пользователю об этом. Но часто разрешение на такой доступ скрыто в соглашениях об использовании — мелком шрифте, который многие пользователи не читают — или появляется не при загрузке приложения, а позже, без ведома пользователя, когда доступ для этого информация начинает работать.
Приложения Android представляют дополнительные риски для конфиденциальности, поскольку они автоматически получают доступ к ключевым датчикам внутри телефона, которые определяют местоположение, движения и ориентацию устройства. Вместе эти датчики могут дать подсказки обо всем, от маршрута, по которому вы идете на работу, до того, носите ли вы телефон в кармане (телефон относительно стабилен) или в сумочке (он качается).
«В нашем исследовании мы показываем, что приложению на самом деле не нужен ваш GPS или Wi-Fi, чтобы отслеживать вас», — говорит Нубир. «Просто используя эти датчики, которые не требуют разрешений, мы можем сделать вывод, где вы живете, где вы были, куда собираетесь».Чтобы оценить эффективность системы, исследователи провели два типа тестов.Они смоделировали поездки в 11 городах по всему миру, включая Берлин, Лондон, Рим, Бостон и Атланту.
Они также сами сели за руль, проехав 1000 километров по более чем 70 различным маршрутам в Бостоне и Уолтеме, штат Массачусетс. В обоих тестах они собрали множество измерений, полученных при изменении положения телефонов, включая углы поворота и траекторию поворотов.Их самые последние результаты превзошли результаты, первоначально опубликованные в трудах симпозиума IEEE по безопасности и конфиденциальности 2016 года: 50-процентная вероятность того, что фактически пройденный путь, была одной из 10 сгенерированных.
«Определение модели вождения из приложения для Android может привести к гораздо более серьезным нарушениям конфиденциальности, например, где пользователь живет и работает», — говорит Нубир. Он предупреждает, что дополнительную информацию можно получить, выполнив поиск в городских и городских общедоступных базах данных, например, по налоговой отчетности. «Злоумышленники могут получить множество деталей через эти побочные каналы».Что делать пользователю Android, если не отказываться от приложений в целом?
— Для начала сделайте домашнее задание, — говорит Нубир. «Вы не должны устанавливать приложения, которые вам незнакомы — те, которые вы не исследовали», — говорит он. «Убедитесь, что ваши приложения не работают в фоновом режиме, когда вы их не используете».Он также советует удалить приложения, которые вы не часто используете. «Зачем сохранять приложения, которые могут получить доступ к вашим датчикам, если вы не используете их серьезно?» он спрашивает.
В команду входили Сашанк Нараин, доктор философии’17, Триет Д. Во-Хуу, доктор философии’16, и Кеннет Блок, доктор философии’18. Следующий проект Нубира: изучить, как часто это отслеживание происходит с пользователями Android в реальном мире, с пользователями в реальном мире.