Open in app

Sign in

Write

Sign in

Приложения для Android запрашивают слишком много опасных разрешений. Вот откуда мы это знаем

IB Tree
9 min readMar 29, 2021

--

Когда вы устанавливаете приложение для Android, оно редко получает доступ ко всему, что ему нужно. Приложения требуют доступа к различным компонентам и данным на наших устройствах Android, чтобы работать должным образом, и в большинстве случаев мы должны предоставить им на это разрешение.

В теории, разрешения для Android-приложений-это отличный способ обеспечить нашу безопасность и защитить нашу частную жизнь. На практике, однако, эти разрешения не всегда отображаются заметно или описываются очень подробно, и мы можем быть совершенно не осведомлены о том, что мы только что дали приложению beauty camera полное благословение записывать звук, отслеживать наше местоположение или просматривать список контактов. На самом деле, некоторые приложения собирают наши данные, даже когда мы отказываем им в доступе к личной информации. И ситуация, похоже, только ухудшается с каждым годом.

Имея это в виду, мы в CyberNews хотели посмотреть, действительно ли запросы на опасные разрешения в Android-приложениях выходят из-под контроля. Для этого мы изучили 1020 лучших приложений в магазине Google Play и проанализировали разрешения, которые они просили.

То, что мы обнаружили, было довольно тревожным: запросы на опасные разрешения были невероятно распространены среди лучших приложений Android. Мало того, разрешения, которые являются особенно агрессивными, такие как доступ к вашей камере, местоположению и микрофону, часто запрашиваются приложениями в категориях, которые не должны их запрашивать.

В принципе, разрешения приложений должны предотвращать нарушение вашей конфиденциальности другими пользователями, позволяя вам контролировать, какие данные вы предоставляете. К сожалению, когда каждое другое приложение хочет отслеживать ваше местоположение или читать журналы вызовов, кажется, что этот принцип больше не работает.

Основные моменты

  • Приложения в категориях “здоровье и фитнес”, “коммуникация” и “производительность” запрашивали в среднем наибольшее количество опасных разрешений.
  • 36% приложений запрашивали разрешения камеры.
  • 33% приложений хотели отслеживать ваше местоположение.
  • 21% приложений запросили доступ к вашему микрофону.
  • 7,8% приложений запросили разрешение на прямые звонки.
  • 4% приложений хотели получить доступ к вашей контактной книге и изменить ее.
  • 5% приложений просили читать события календаря, в то время как 3% хотели иметь возможность изменять их.

Как мы собирали и анализировали эти данные

Чтобы провести это исследование, мы загрузили 1020 лучших приложений (отсортированных по общему количеству установок) в Google Play store, разделили эти приложения на соответствующие категории и проанализировали их файлы манифестов на предмет наличия данных разрешений.

В ходе нашего анализа мы использовали политику разрешений Google с официального портала разработчиков Android в качестве стандарта для выявления опасных разрешений, которые позволяют приложениям получать доступ к вашим личным данным.

Отдельные приложения и категории приложений

Для каждого отдельного приложения, которое мы проанализировали, мы создали список, в котором мы смотрели, сколько разрешений запрашивает приложение в целом и сколько из них являются опасными.

Чтобы лучше понять необходимость запрашивать опасные разрешения, мы также рассмотрели, как эти разрешения распределяются по категориям приложений. Чтобы сделать это, мы назначили два списка разрешений для каждой категории приложений: общее количество запросов разрешений для каждой категории и количество уникальных разрешений для каждой категории, где мы не учитывали повторяющиеся разрешения, запрашиваемые несколькими приложениями в одной категории.

Чтобы увидеть, какие категории приложений включали приложения, которые запрашивали наибольшее количество опасных разрешений в среднем, мы создали индекс оценки опасности для категорий приложений, где мы рассчитали средний процент опасных разрешений, запрашиваемых приложениями в данной категории. Мы получили эти баллы, разделив количество уникальных опасных разрешений на среднее число общих запросов разрешений в данной категории.

Наиболее распространенные разрешения

Неудивительно, что самыми популярными разрешениями, запрашиваемыми 99% ведущих приложений Android, были разрешения на полный доступ к сети и возможность просмотра сетевых подключений, которые позволяют приложению подключаться к Интернету, в то время как 72% приложений запрашивали разрешение на просмотр подключений Wi-Fi.

Между тем, разрешение на запуск при запуске устройства, которое позволяет приложению запускаться без запроса пользователя при загрузке устройства, было также запрошено большинством проанализированных нами приложений, так как оно работает на 64%.

Когда дело доходит до опасных разрешений, запросы на чтение внешнего хранилища (77%) и изменение или удаление внешнего хранилища (73%) были сделаны примерно тремя из четырех приложений. С одной стороны, они обычно используются приложениями для чтения и хранения связанных с приложением или пользователем данных на устройстве или таких вещей, как внешние SD — карты. С другой стороны, эти разрешения могут быть очень опасны, если приложение будет скомпрометировано: субъект угрозы получит полный доступ к вашему мобильному хранилищу.

Приложения в этих категориях запрашивают наиболее опасные разрешения

Как мы видим, приложения из категорий “коммуникация” (49%), “образ жизни” (48%) и “карты и навигация” (47%) имели самый высокий процент уникальных опасных запросов разрешений по сравнению с приложениями из других категорий.

Означает ли это, что вы должны немедленно удалить свое любимое навигационное приложение или отменить все удаленные встречи? — Конечно, нет.

- Само собой разумеется, что приложения из любой категории могут запрашивать опасные разрешения. Например, вы ожидаете, что коммуникационное приложение запросит доступ к вашей телефонной книге и учетным записям Android, в то время как навигационное приложение не вызовет удивления, попросив отследить ваше местоположение”, — говорит Винсентас Баубонис, исследователь безопасности CyberNews, проанализировавший данные приложения. И если бы вы заблокировали все опасные разрешения для каждого приложения, ни одно из них не сработало бы.

Но даже несмотря на то, что они могут не представлять опасности прямо сейчас, большинство приложений из этих трех категорий хотят иметь почти универсальный доступ к вашему устройству и данным, хранящимся на нем. По словам Баубониса, это означает, что они потенциально могут стать невероятно опасными, если будут скомпрометированы. На самом деле, есть много примеров того, как субъекты угроз используют ошибки в законных приложениях, которые увеличили разрешения для получения доступа к вашим данным.

“Поэтому, прежде чем устанавливать приложение из любой из этих категорий, будьте особенно осторожны, когда убедитесь, что оно запрашивает только разрешения, необходимые для его работы”, — заключает Баубонис.

36% приложений хотят использовать вашу камеру

Возможность вынуть телефон и сделать снимок одним нажатием кнопки стала неотъемлемой частью владения смартфоном.

Однако разрешение приложению использовать вашу камеру иногда может иметь неприятные последствия. Например, злоумышленники могут взять под контроль приложения, которым разрешено использовать камеру для съемки фотографий и записи видео с помощью вредоносных приложений, не имеющих на это никаких разрешений. И это может быть особенно актуально, если у рассматриваемого приложения нет причин использовать вашу камеру в первую очередь.

Чтобы проиллюстрировать это, наш анализ показал, что 36% приложений запрашивают разрешение на использование вашей камеры.

Действительно ли каждое третье приложение для Android нуждается в вашей камере для работы?

Ответ “вероятно, нет”: после фильтрации приложений из категорий, где использование камеры имело бы смысл, таких как фотография, воспитание детей, знакомства, социальные отношения, красота и т. д., мы остались с огромным количеством приложений, которые запрашивают разрешения камеры в таких категориях, как игры, персонализация и даже астрология. Это был первый (но далеко не единственный) случай, когда мы остались ломать голову над количеством приложений, запрашивающих, казалось бы, ненужные разрешения.

Каждое третье приложение хотело бы отслеживать ваше местоположение

Еще одна пара опасных разрешений, распространенность которых среди топовых приложений для Android была довольно неожиданной, была связана с отслеживанием вашего местонахождения. Как и при использовании камеры, способность приложения видеть, где вы находитесь в любое время, очень чувствительна и инвазивна.

И все же 33,5% проанализированных нами приложений просили разрешения просмотреть ваше точное местоположение, в то время как 31% хотели хотя бы узнать ваше приблизительное местоположение на основе сетевых сигналов.

Опять же, мы исключили Обычные подозреваемые, такие как погода, спорт, навигация и приложения для знакомств, которые, по-видимому, потребуют ваших данных о местоположении для выполнения своей работы. У нас осталось 108 приложений из таких категорий, как обои, шрифты и казуальные игры, которые должны были отслеживать ваше местоположение из-за… причин?

Каждое пятое приложение хочет записывать ваши разговоры

Если речь не идет о коммуникации, социальных сетях или виртуальной помощи, вы всегда должны быть скептичны, когда приложение запрашивает разрешение на доступ к микрофону. В противном случае предоставление этого опасного разрешения менее авторитетным приложениям может привести к тому, что ваши разговоры будут записаны без вашего ведома третьими лицами. И имейте в виду, что даже некоторые из лучших приложений в Google Play в данной категории могут быть далеко не авторитетными.

В свете этого видеть, как 21% из 1020 лучших приложений для Android просят доступа к микрофону, было, мягко говоря, тревожно.

Теперь, что было бы приложение для обоев без возможности записи ваших разговоров?

Именно этот вопрос мы задали себе после того, как отфильтровали категории приложений, чьи запросы на разрешение микрофона имели смысл. На этот раз у нас осталось 148 приложений в 13 категориях, таких как финансы, стиль жизни и да, обои, которые просят разрешения подслушивать вас и тех, кто вас окружает. Жуткий.

Выполнение прямых звонков вашим контактам

Из 1020 проанализированных нами приложений для Android 80 приложений (что составляет около 8%) запросили разрешение на прямые звонки. К счастью, большинство этих приложений были из таких категорий, как общение, бизнес и социальные сети, где возможность совершать звонки имела хоть какой-то смысл.

При этом мы также заметили, что 23 приложения в таких категориях, как погода, книги и музыка, запрашивали разрешение напрямую звонить на другие телефонные номера. Хотя это разрешение менее распространено, чем доступ к камере или микрофону, оно не менее опасно.

Более того, из этих 80 приложений более половины (43) запрашивают разрешения на добавление, изменение или удаление контактов, причем 15 приложений поступают из категорий, которые не должны иметь оснований для доступа к вашей телефонной книге, таких как игры, фотографии и — вы догадались — обои.

Приложения с социальными функциями обычно нуждаются в таких разрешениях, чтобы функционировать. Тем не менее, вы должны дважды подумать о предоставлении разрешений, связанных с контактами, приложениям, которым не нужно использовать такую информацию.

Например, вредоносное или скомпрометированное приложение flashlight, которому вы по рассеянности дали разрешение изменить свою телефонную книгу, может использовать адрес электронной почты ваших контактов для отправки вам сообщения с фишинговой ссылкой.

Или, в сочетании с прямыми звонками, контактные разрешения могут быть использованы субъектами угроз, добавляя и вызывая платные номера с вашего телефона, чтобы раздуть ваш телефонный счет или истощить ваш предоплаченный кредит в течение нескольких часов.

Возня с календарем

Если вы предоставляете приложению разрешения календаря, это означает, что вы позволяете ему “добавлять или изменять события календаря и отправлять электронную почту гостям без ведома владельцев.” Как и в случае с разрешениями, связанными с контактами, плохие актеры могут использовать ваш календарь против вас в самых разных целях, включая кражу ваших личных данных или очистку и рассылку спама по всему вашему списку контактов вредоносными сообщениями.

К счастью, менее 5% лучших приложений для Android запросили разрешение на чтение календаря, и только 3% хотели добавить или изменить события календаря.

Но даже тогда, отсеяв заявки из таких категорий, как бизнес, производительность, события и социальные, мы остались с заметными исключениями. Родом из таких категорий, как потоковая передача музыки, красота и погода, 17 приложений запросили разрешение на чтение календаря, в то время как 15 хотели изменить события календаря.

Опасные разрешения на Android: сколько это слишком много?

Предположительно, разрешения Android были созданы для защиты нашей конфиденциальности. И на бумаге они могли бы сделать именно это. Но когда вы в последний раз видели приложение, запрашивающее только обычные разрешения?

Процент приложений, которые без необходимости запрашивают неограниченный доступ к нашему местонахождению, использованию устройств и коммуникациям, очень тревожит, если не вызывает возражений.

И с таким количеством приложений для Android, запрашивающих такой доступ к нашим данным, что происходит, когда эти данные попадают не в те руки? Почти каждую неделю мы слышим о новой киберпреступной кампании, которая смогла проникнуть в другое массово популярное приложение в магазине Google Play и раскрыть данные десятков миллионов ничего не подозревающих людей.

Как мы можем уменьшить риск таких катастроф в области конфиденциальности и безопасности? Ну, это может быть не окончательное решение, но просить менее ненужного разрешения может быть началом.

Имейте это в виду при предоставлении разрешений для приложений Android

Если вы беспокоитесь о конфиденциальности и безопасности приложений на вашем Android-устройстве, вот на что следует обратить внимание:

  • Слишком много разрешений: если приложение для фонарика настаивает на доступе к вашему микрофону, подумайте о поиске менее инвазивного варианта.
  • Разработчики, о которых вы никогда не слышали: если приложение не сделано авторитетной компанией, подумайте о том, чтобы придерживаться надежных вариантов от разработчиков, которых вы уже знаете, независимо от его популярности. Миллиардные числа загрузок не гарантируют ни качества, ни безопасности.
  • Если это бесплатно, вы, вероятно, продукт: многие бесплатные приложения для Android занимаются неэтичной рекламой или просто добывают ваши данные и продают их третьим лицам. В свете этого обязательно примите это во внимание, прежде чем предоставлять опасные разрешения любому бесплатному приложению.

Не забудь подписаться на наш канал!

Хочешь научиться большему? Записывайся на индивидуальное обучение.

Android
Hacking
Ethical Hacking
Penetration Testing

--

--

IB Tree
IB Tree

Written by IB Tree

19 Followers
0 Following

Киберкриминалистика; Offensive security; Red teaming; OSINT; Обучение; Инсайты, опыт и lifestyle. 🏴‍☠️ t.me/ib_tree

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams