На конференции Usenix Security компания Google вручила награду за обнаружение в магазине Play Store опасных приложений. Эти программы игнорировали настройки, которые запрещали им получать доступ к данным на устройствах. Более того, они даже делились этим доступом с другими программами, что давало им возможность идентифицировать пользователей, отслеживать местоположение, открывать доступ к разным установленным программам.

Исследователи из Международного института компьютерных наук обнаружили, что как минимум 1300 из 88000 рассмотренных приложений на Android задействуют не менее 50 способов обойти пользовательские запреты. Программы относятся к разным категориям, включая сторонние комплекты средств разработки и библиотеки. В них обнаружено множество строк кода, который может применяться для хранения персональных данных пользователей.

На конференции было показано два основных способа обходить ограничение на доступ к данным. Первый способ связан с уязвимостями Android и сторонних комплектов средств разработки, вроде Unity. Они позволяют приложениям сохранять уникальные идентификаторы мобильных устройств.

При втором способе приложения используют изощрённые методы обмена пользовательскими данными с другими приложениями, у которых нет разрешения на доступ к этим данным. Например, сторонние библиотеки от китайских компаний Baidu и Salmonads используют карты памяти SD для хранения конфиденциальной информации. Она может быть передано в приложении, у которых нет доступ к этой информации. Было найдено 153 таких приложения, установленных больше чем на 500 млн. устройств.

Google наградила исследователей за их открытия и пообещала решить проблему в системе Android Q, которая будет выпущена уже скоро. Несмотря на все механизмы защиты в магазине Play Store вредоносные приложения продолжают время от времени проникать туда, причём даже в самые видные разделы вроде рекомендованных программ.