Когда приложения для смартфонов объединяются, чтобы украсть ваши данные

Исследование лучших 100 тыс. приложений для платформы Android позволило выявить десятки тысяч совпадений между ними — всё это направлено на кражу пользовательских данных. Утечки не всегда происходят преднамеренно, поэтому их поиск и фиксация являются кропотливой работой. Тем не менее, вне зависимости от цели, передача конфиденциальной пользовательской информации без его разрешения создаёт возможности для злоупотреблений.

Объединённые мобильным преступлением

Представьте двух сотрудников крупного банка: аналитика, который обрабатывает конфиденциальную финансовую информацию и курьера, который осуществляет доставку за пределы компании. Казалось бы, они делают то, что и предполагает их специальность. На самом деле, оба занимаются довольно гнусным делом — во время перерыва, в комнате отдыха аналитик спокойно передаёт некоторые секретные финансовые данные курьеру, который передаёт их в конкурирующий банк.

Теперь представьте, что банк — это Android-смартфон. Сотрудники — это приложения, а конфиденциальная информация, к примеру, — ваше GPS местоположение. Как и двое вышеупомянутых сотрудников, пары приложений Android, установленных на одном смартфоне, участвуют в своеобразном заговоре, с целью сбора и извлечения информации о пользователе устройства.

Обнаружить такие заговоры довольно сложно, так как мобильные системы безопасности быстро и слажено выявляют отдельное приложение, которое собирает конфиденциальные данные и отправляет их на сторонний сервер. Но когда в деле участвуют два приложения, чаще всего, ни одно из них не вызывает подозрения по одиночке. И ввиду огромного количества возможных комбинаций программ верификация подобных связей — очень сложная задача.

Исследование, опубликованное около месяца назад, представило новый механизм для выявления подобной схемы сбора данных. Он позволил обнаружить более 20 тыс. пар приложений, ворующих данные. Четыре специалиста по безопасности из компании Virginia Tech создали систему, которая внедряется в архитектуру приложений Android чтобы понять, как они обмениваются информацией с другими программами на одном и том же устройстве. Разработка под названием DIALDroid объединяет приложения, чтобы сымитировать их взаимодействие и выявить потенциальное сотрудничество с целью воровства данных.

Когда исследователи протестировали DIALDroid на 100 206 наиболее загружаемых Android-приложениях, они обнаружили 23,5 тыс. пар, которые воруют данные. Более 16,7 тыс. из этих пар также связаны с расширением полномочий программы. Это означает, что второе приложение получает доступ к конфиденциальной информации, которой ему обычно запрещён настройками безопасности.

Наглядный пример работы шпионских пар в смартфоне — приложение, которое напоминает мусульманам о времени молитвы. Исследователи выяснили, что программа получает доступ к местоположению пользователя и делает его доступным для других приложений на смартфоне. В результате, около 1,5 тыс. приложений-получателей (если они установлены на том же устройстве) могут узнать, где находится конкретный пользователь. Более 39 из них могут передать эти данные в потенциально опасное хранилище.

В 16,7 тыс. связей между приложениями, которые получили расширенные привилегии, было задействовано одно из 33 приложений, отправлявших данные внешним источникам. В трети обнаруженных пар приложений (примерно 6,7 тыс.), собиравших данные без расширения привилегий, такие программы попадались в соотношении 1 к 21. Два десятка мобильных программ относятся к обеим вышеописанным категориям. Небезопасные приложения были замечены в самых разных категориях: от развлечений и спорта до фототехники и транспортных приложений.

Самое ценное — местоположение

Утечки не всегда происходят преднамеренно, поэтому их поиск и фиксация являются кропотливой работой. Тем не менее, вне зависимости от цели, передача конфиденциальной пользовательской информации без его разрешения создаёт возможности для злоупотреблений. Иногда только одно приложение в паре выступает в роли преступника и использует недостатки в безопасности другой программы для скрытой передачи данных на удалённый сервер. Также бывают случаи, когда в результате ошибок в коде данные одного приложения становятся доступны другому.

Исследование показало, что местоположение смартфона — наиболее часто похищаемая информация. Можно даже не объяснять, насколько опасна и неприятна утечка данных о настоящей локации пользователя. Тем не менее, другие данные, такие как информация о сетях, к которым подключается смартфон, отслеживание действий пользователя с устройством в течение длительного времени также может представлять интерес для злоумышленников.

Проанализировав конечную цель похищения данных, исследователи из Virginia Tech обнаружили, что почти половина утечек происходит из записей данных в лог-файле. Обычно эта информация доступна только приложению, которое её создало, но ряд программ также могут извлекать данные из файлов журнала, что представляет повышенную опасность. Другие, более коварные приложения сразу отправляют данные с телефона через интернет или даже по SMS — 16 приложений-отправителей и 32 приложения-получателя использовали дополнительные разрешения, чтобы отправить информацию одним из этих двух способов.

Источник: Theatlantic. Перевод: Кристина Мятная, Imena.ua

 

You may also like...