Приложения для мобильной операционной системы Android от Google могут копировать фотографии на удаленный сервер без предварительного уведомления юзеров, выяснили эксперты The New York Times.
«Никакого специального разрешения, необходимого для того, чтобы приложение читало изображения, нет, – говорит директор по технологии компании Lookout, специализирующейся на ПО по безопасности. – Это основано на результатах исследования устройств компанией Lookout».
Технический директор Loupe Ральф Гути продемонстрировал соответствующий эксперимент на одном из тестовых приложений. При установке программа запрашивала лишь возможность доступа к интернету, а когда приложение запускалось, оно само переходило к библиотеке с фотографиями, находило последние изображения и публиковало их на общедоступном сайте обмена фотографий. «Фотографии – это одни из самых личных данных. Я действительно был шокирован», – цитирует его издание.
The New York Times не уточняет, действительно ли приложения используют эту схему на практике. Корпорация Google признала, что такая возможность действительно существует, пообещав рассмотреть возможность изменения настроек доступа. По словам представителя интернет-компании, отсутствие ограничений на доступ к фотографиям связано с предыдущей моделью хранения данных в Android-устройствах. Первые смартфоны на базе ОС от Google могли сохранять изображения на съемной карте памяти, что усложняло доступ к картинке.
Например, пользователь мог предоставить приложению доступ для получения фотографий с одной карты, но не разрешал доступ к фотографиям с той, которую вставил в устройство в другой день. «Мы разработали систему, похожую на те, которые используются в других компьютерных платформах типа Windows или Mac OS, – цитирует его NYT. – Тогда изображения хранились на картах SD, их было легко вытащить из телефона и вставить в компьютер для просмотра и переноса изображений.
Когда же компьютеры и таблетки стали производиться со встроенной памятью, которую нельзя извлечь, мы еще раз взглянули на ситуацию и приняли решение добавить разрешение, которое позволяло бы приложениям запрашивать доступ к изображениям».
Объяснение Google «удивит большинство пользователей, поскольку они вряд ли знают о таких различиях в системе хранения данных телефона», говорит исследователь, специализирующийся на неприкосновенности частной жизни и безопасности Ашкан Солтан. Для них подобное разрешение Google будет «сродни покупке автомобиля, у которого замки только на дверях, но не на багажнике», объясняет он.
«Мы удаляем из Android Market приложения, которые некорректно получают доступ к данным», – заверяют в Google. Пользователи могут оставлять отзывы о подозрительной деятельности приложений, и компания рассматривает такие заявки. Google также имеет собственную систему безопасности Bouncer, которая с помощью моделирования различных ситуаций проверяет, могут ли приложения получать, например, персональные данные пользователей.
Но Android Market позволяет любому разработчику представить свое приложение. Это означает, что, если вредоносная программа обойдет систему автоматической проверки Google, она в конечном итоге может появиться на многих устройствах.
