นักวิจัยค้นพบว่ามีแอปบน Android นับพันแอปแอบติดตามข้อมูลของมือถือ แม้เราจะตั้งค่าไม่อนุญาตให้ติดตาม ด้วยการหลอกระบบ permission

Android

ปกติแล้วสมาร์ทโฟนแอนดรอยด์น้นจะมีการตั้งค่าอนุญาตให้มือถือเข้าถึงข้อมูลอะไรบนมือถือเราบ้าง ถ้าเรากดไม่อนุญาตก็จะไม่สามารถเข้าถึงข้อมูลที่กำหนดไว้ได้ ซึ่งก็มีการคิดค้นวิธีวิธีหลอกระบบ permission ให้เข้าถึงข้อมูลเหล่านั้นได้ ด้วยการใช้แอปสองแอป โดยให้แอปที่ได้รับอนุญาตแชร์ข้อมูลไปยังแอปที่ไม่ได้รับอนุญาตนั่นเอง แต่แอปสองแอปนี้ไม่จำเป็นต้องมาจากนักพัฒนารายเดียวกัน แต่ถูกสร้างจากชุดพัฒนาซอฟท์แวร์ตัวเดียวกัน จึงสามารถเข้าถึงข้อมูลที่แอปอื่นที่ใช้ชุด SDK แชร์มาได้

ในงาน PrivacyCon 2019 มีการพูดถึงแอป Samsung และ Disney ที่มียอดดาวน์โหลดหลายร้อยล้านครั้ง ซึ่งสองแอปนี้ใช้ชุดพัฒนา SDK ของ Baidu และบริษัทวิเคราะห์ Salmonads ที่สามารถส่งต่อข้อมูลจากแอปนึงไปยังอีดแอปนึงรวมถึงเซิร์ฟเวอร์ได้ ซึ่งทางนักวิจัยสังเกตเห็นว่ามีบางแอปนำข้อมูลเหลานี้ไปใช้เพื่อตัวเอง

นอกจากนั้นบางแอปจะส่งข้อมูล MAC addresses ของชิปเครือข่ายและเราท์เตอร์, wireless access point, SSID และอีกหลายอย่าง ตัวอย่างแอปที่แอบใช้ช่องโหว่เหล่านี้ ก็คือ แอปถ่ายรูป Shutterfly ที่จะส่งข้อมูลพิกัด GPS และข้อมูล EXIF กลับไปยังเซิร์ฟเวอร์โดยไม่ขออนุญาต

ปัญหานี้จะได้รับการแก้ไข Android Q เพราะทางนักวิจัยได้แจ้งให้ Google ทราบตั้งแต่เดือนกันยายนปีที่แล้ว

VIA the Verge