És mindez egyáltalán nem illegális. Szinte minden androidos app használja az Installed Application Methods API-t, ami lekérdezi az eszközre telepített alkalmazások listáját.

Köztudott, hogy a mobil eszközök ezerféleképpen képesek adatokat gyűjteni a használójukról, de valahogy mindig kiderül egy ezeregyedik is. A közelmúltban publikálta egy európai kutatócsapat azt a tanulmányt, amely az Android egyetlen API-jának működését elemzi.

Sokszor nehéz meghatározni, hogy hol húzódik a személyes adatok határa, de ebben az esetben nem nagyon van kérdés. A tanulmány szerint ugyanis egy API, nevezetesen az Installed Application Methods (IAM) révén az andoridos készülékekre telepített appok többsége simán le tudja szívni a telepített egyéb appok listáját.

Nem erre találták ki

Az IAM API-t eredetileg azért hozta létre a Google, mert szükség volt valami eszközre, amin keresztül a fejlesztők értesülhettek arról, ha appjuk összeütközik más alkalmazásokkal, illetve hogy az alkalmazások képesek-e szükség esetén interakcióba lépni egymással. Csakhogy az API kiválóan alkalmas az adott eszköz teljes alkalmazáslistájának lekérdezésére is. Ez ugyan egy teljes profil megalkotásához nem elég, de sokat elárul az adott felhasználó neméről, beszélt nyelvéről, koráról vagy vallási meggyőződéséről, ami értékes adalék a hirdetőknek.

De a legnagyobb probléma a tanulmány szerint az, hogy a felhasználó ez ellen nem is tud védekezni, mert az API-nak nem kell engedélyt kérnie.

A kutatók összesen több mint 22 ezer app viselkedését vizsgálták. Mintegy 14 ezret választottak ki a Play Store legnépszerűbb alkalmazásaiból, valamint közel nyolcezer nyílt forráskódú appot is megvizsgáltak. Arra jutottak, hogy a zárt kódú alkalmazásoknak közel harmada futtatja az IAM API-t, de ezen belül vannak olyan alkalmazáscsoportok (pl. játékok), ahol az arány meghaladja a 70 százalékot. Ezzel szemben a nyílt forráskódú alkalmazásoknak kevesebb mint 3 százalékában találták meg. Tegyük hozzá: utóbbiak sokkal szűkebb, és marketingszempontból kevésbé hasznosítható területet öleltek fel (különböző toolok, produktivitást növelő vagy személyre szabást segítő appok, oktatási alkalmazások).

Azt is vizsgálták, hogy az alkalmazások milyen hívásokat kezdeményeztek az appban, hogy jobban megértsék magát a mechanizmust. Az eredményeket összefoglalták egy táblázatban, amiből szinte minden kiderül.

A végső bizonyíték

A kutatás során rögzített összes IAM API-hívás közel fele a packageName lekérdezésére irányult, azaz a helyileg telepített alkalmazások listájára volt kíváncsi. A flag paraméter lekérdezése, amely a második helyre került, mindössze a hívások 15 százalékát tette ki.

A többség viszont az 1 százalékot sem érte el. Ezek általában olyan infókat kérdeznek le, ami miatt annak idején az IAM API-t létrehozták: hogy segítse a hibakeresést. Például ellenőrzi az alkalmazás aláírását, a verziószámát, az utolsó frissítés idejét, az SDK verzióját stb.

A packageName-lekérdezések az esetek többségében nem mennek tovább, begyűjtik az alkalmazáslistát, de mást már nem. Már önmagában ez is arra utal, hogy az API-t nem hibajavítás, hanem kifejezetten adatgyűjtés céljából futtatják. A végső bizonyítékot azonban más szolgáltatta.

A packageName-lekérdezéseket végrehajtó kód helye az appok több mint négyötödénél nem magában az app kódjában volt, hanem egy harmadik féltől származó könyvtárban. Ez egyébként a nyílt forráskódú programokra is igaz, bár azoknál kisebb arányban.

 
IAM API lekérdezések
Infogram


Ezek után az már nem is volt meglepő, hogy a harmadik féltől származó könyvtárak között a hirdetési célúak képviselik a legnagyobb súlyt (36 százalék). Az viszont annál inkább meglepő, hogy a megkeresett appfejlesztők jelentős része nem volt tisztában azzal, hogy az alkalmazásukban használt külső forrásból származó könyvtárak IAM-hívásokat végeznek.

Engedélyhez kellene kötni

A kutatócsoport elküldte eredményeit a Google-nek is, és azt javasolta, hogy korlátozzák az IAM API működését. Másik javaslatuk, hogy az API futtatása legyen engedélyköteles. A lekérdezés előtt egy felugró ablakban kellene jóváhagynia a felhasználónak az infók, például az alkalmazáslista lekérdezését.

A tanulmány innen tölthető le.

Biztonság

Az Amazon csatát nyert a luxusmárkák ellen

Az Európai Unió Bíróságának állásfoglalása szerint az online kereskedelmi platformok üzemeltetői azzal még nem sértenek meg semmilyen szabályt, ha jóhiszeműen raktározzák vagy kiszállítják a kereskedelmi partnereik által jogsértő módon kezelt termékeket.
 
Hirdetés

Balasys – jóval több mint egy disztribútor

A magyar informatikai biztonsági piacon húsz éve meghatározó Balasys bejelentette, hogy 2020. márciusától az IT menedzsment piac globális gyártójaként ismert Quest portfóliójának disztribútora lett. Így, a One Identity mellett, már a Quest teljes termékpalettáját is értéknövelt disztribútorként és megoldásszállítóként képviseli.

Az innovatív lehetőségek tárháza, a szemmel is látható költségmegtakarítás lehetősége, a munkavállalók egyre fokozódó igénye ellenére egy globális járvány kellett ahhoz, hogy villámgyorsan elterjedjen a távmunka. Milyen feltételei vannak, és lehet-e legalább olyan hatékonyan dolgozni otthonról, mint az irodából?

a melléklet támogatója a Cisco Magyarország

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.