Computerworld News Service: Mange af applikationerne til Googles mobilstyresystem, Android, lever ikke op til forventningerne, når det kommer til brugernes privatliv og sikkerhed.
Det konkluderer forskere fra Pennsylvania State University og North Carolina State University, som har undersøgt de 1.100 mest populære gratis applikationer fra Android Market.
Forskerne fandt ingen decideret skadelige apps, men et overraskende stort antal anvender unikke identifikatorer som eksempelvis telefonens IMEI-nummer (international mobile equipment identity) - nogle gange uden at have indhentet tilladelse fra brugeren.
Kan kædes sammen med brugerne
En af problemstillingerne ved dette er, at disse unikke identifikatorer kan kædes sammen med Android-brugerne i databaser.
Det er grundlæggende en usynlig måde at spore, hvad de mobile brugere foretager sig online i lighed med tracking-cookies gemt af browsere.
Til forskel fra en cookie i browseren kan en mobiltelefons IMEI ikke slettes.
Oplysninger deles
Denne nye forskning er en opfølgning på tidligere arbejde udført af de samme forskere, som sidste år kiggede nærmere på 30 applikationer til smartphones.
Her påviste de en udbredt praksis med at dele oplysninger om brugernes geografiske placering samt unikke identifikatorer.
Det er først nu, t forskningen er ved at blive sammenstykket tilet billede af, hvad der foregår under overfladen med disse apps til mobiltelefoner, siger William Enck, der er adjunkt ved North Carolina State University og en af forskerne bag undersøgelsen.
"Jeg tror, at folk er ved at blive mere opmærksomme på det her, men jeg tror ikke, der er nogen udbredt forståelse for, hvad implikationerne er," advarer han.
"Denne undersøgelse udvider vores forståelse for, hvad applikationerne i Android i virkeligheden gør ... og hvad de gør med vores data," siger Lee Tien, der er jurist hos Electronic Frontier Foundation.
Dine net-bevægelser bliver måske sporet
Electronic Frontier Foundation er bekymret for, at disse unikke identifikatorer kan bruges til at spore forbrugeres online-aktivitet.
Lee Tien mener imidlertid også, at der er opløftende ting at finde i den nye undersøgelse.
"Det gjorde mig på en måde glad at se, at der ikke ser ud til at være noget åbenlyst misbrug af muligheden for optagelse af lyd og video til brug i aflytning og den slags."
Enck og hans kolleger har udviklet et program, der tager Java-bytekoden, der kører på Android-telefonerne, dekompilerer den og konverterer den til noget, som mennesker lettere kan læse og forstå.
Sammenlagt har forskerne på denne måde analyseret 21 millioner linjer kode.
Størstedelen af dette arbejde blev udført af computere, men Encks team gennemgik ofte manuelt software, der virkede særligt interessant.
"Vores analyse har afdækket en gennemgribende brug/misbrug af person-/telefon-identifikatorer og en dyb gennemtrængning af annoncerings- og analyse-netværk," står der i forskningsartiklen, som blev præsenteret i sidste uge ved Usenix Security Symposium i San Francisco.
Forskerne kalder selv deres arbejde for den "første men ikke endelige afdækning af sikkerheden ved applikationer på Android."
Oversat af Thomas Bøndergaard
