На Android есть возможность запретить любому приложению читать ваши данные. Но, как оказалось, это помогает не всегда: тысячи приложений могут обходить систему разрешений и обмениваться между собой информацией о вашем местоположении и другими важными данными.

Это выяснили исследователи из Калифорнийского университета в Беркли, Университета Калгари и Мадридского университета имени Карла III. Они обнаружили, что если у какого-то приложения на смартфоне есть разрешения, то оно может предоставить полученную информацию и другому. Достаточно, чтобы эти программы были созданы на одном и том же наборе средств разработки (SDK).

Среди таких приложений — программы от Samsung и Disney, которые были загружены сотни миллионов раз. Их разработчики использовали SDK от китайского поискового гиганта Baidu и аналитической фирмы Salmonads. Этот SDK может передавать данные из одного приложения в другое, а также на серверы упомянутых компаний.

Среди всех приложений исследователи отметили фотосервис Shutterfly. Он отправляет GPS-координаты на серверы компании без разрешения на отслеживание местоположения. Эту информацию приложение получает из EXIF-данных, которые хранятся в изображениях. Впрочем, разработчики сервиса заверили, что без разрешения данные не собирают.

Обо всех этих, а также о некоторых других уязвимостях исследователи уведомили Google ещё в сентябре прошлого года. В результате калифорнийский гигант пообещал исправить их в Android Q, которая пока установлена лишь примерно у 10% пользователей Android. По поводу остальных версий операционной системы пока ни слова, но, возможно, Google выпустит соответствующие обновления и для них.