Köztudott, hogy a mobil eszközök ezerféleképpen képesek adatokat gyűjteni a használójukról, de valahogy mindig kiderül egy ezeregyedik is. A közelmúltban publikálta egy európai kutatócsapat azt a tanulmányt, amely az Android egyetlen API-jának működését elemzi.

Sokszor nehéz meghatározni, hogy hol húzódik a személyes adatok határa, de ebben az esetben nem nagyon van kérdés. A tanulmány szerint ugyanis egy API, nevezetesen az Installed Application Methods (IAM) révén az andoridos készülékekre telepített appok többsége simán le tudja szívni a telepített egyéb appok listáját.

Nem erre találták ki

Az IAM API-t eredetileg azért hozta létre a Google, mert szükség volt valami eszközre, amin keresztül a fejlesztők értesülhettek arról, ha appjuk összeütközik más alkalmazásokkal, illetve hogy az alkalmazások képesek-e szükség esetén interakcióba lépni egymással. Csakhogy az API kiválóan alkalmas az adott eszköz teljes alkalmazáslistájának lekérdezésére is. Ez ugyan egy teljes profil megalkotásához nem elég, de sokat elárul az adott felhasználó neméről, beszélt nyelvéről, koráról vagy vallási meggyőződéséről, ami értékes adalék a hirdetőknek.

De a legnagyobb probléma a tanulmány szerint az, hogy a felhasználó ez ellen nem is tud védekezni, mert az API-nak nem kell engedélyt kérnie.

A kutatók összesen több mint 22 ezer app viselkedését vizsgálták. Mintegy 14 ezret választottak ki a Play Store legnépszerűbb alkalmazásaiból, valamint közel nyolcezer nyílt forráskódú appot is megvizsgáltak. Arra jutottak, hogy a zárt kódú alkalmazásoknak közel harmada futtatja az IAM API-t, de ezen belül vannak olyan alkalmazáscsoportok (pl. játékok), ahol az arány meghaladja a 70 százalékot. Ezzel szemben a nyílt forráskódú alkalmazásoknak kevesebb mint 3 százalékában találták meg. Tegyük hozzá: utóbbiak sokkal szűkebb, és marketingszempontból kevésbé hasznosítható területet öleltek fel (különböző toolok, produktivitást növelő vagy személyre szabást segítő appok, oktatási alkalmazások).

Azt is vizsgálták, hogy az alkalmazások milyen hívásokat kezdeményeztek az appban, hogy jobban megértsék magát a mechanizmust. Az eredményeket összefoglalták egy táblázatban, amiből szinte minden kiderül.

A végső bizonyíték

A kutatás során rögzített összes IAM API-hívás közel fele a packageName lekérdezésére irányult, azaz a helyileg telepített alkalmazások listájára volt kíváncsi. A flag paraméter lekérdezése, amely a második helyre került, mindössze a hívások 15 százalékát tette ki.

A többség viszont az 1 százalékot sem érte el. Ezek általában olyan infókat kérdeznek le, ami miatt annak idején az IAM API-t létrehozták: hogy segítse a hibakeresést. Például ellenőrzi az alkalmazás aláírását, a verziószámát, az utolsó frissítés idejét, az SDK verzióját stb.

A packageName-lekérdezések az esetek többségében nem mennek tovább, begyűjtik az alkalmazáslistát, de mást már nem. Már önmagában ez is arra utal, hogy az API-t nem hibajavítás, hanem kifejezetten adatgyűjtés céljából futtatják. A végső bizonyítékot azonban más szolgáltatta.

A packageName-lekérdezéseket végrehajtó kód helye az appok több mint négyötödénél nem magában az app kódjában volt, hanem egy harmadik féltől származó könyvtárban. Ez egyébként a nyílt forráskódú programokra is igaz, bár azoknál kisebb arányban.

Ezek után az már nem is volt meglepő, hogy a harmadik féltől származó könyvtárak között a hirdetési célúak képviselik a legnagyobb súlyt (36 százalék). Az viszont annál inkább meglepő, hogy a megkeresett appfejlesztők jelentős része nem volt tisztában azzal, hogy az alkalmazásukban használt külső forrásból származó könyvtárak IAM-hívásokat végeznek.

Engedélyhez kellene kötni

A kutatócsoport elküldte eredményeit a Google-nek is, és azt javasolta, hogy korlátozzák az IAM API működését. Másik javaslatuk, hogy az API futtatása legyen engedélyköteles. A lekérdezés előtt egy felugró ablakban kellene jóváhagynia a felhasználónak az infók, például az alkalmazáslista lekérdezését.

A tanulmány innen tölthető le.