Alle Android-brugere kender til de små beskeder på skærmen, hvor en app anmoder om tilladelse til at tilgå foto, filer, geolokation og lignende.
Men selv om du siger nej, kan det sagtens være, at den pågældende app alligevel tilgår dine data, viser en ny undersøgelse, som forskere fra det International Computer Science Institute har udarbejdet.
De har fundet mere end 1.300 Android-apps, der trodser brugernes afvisning og alligevel tilgår blandt andet placerings-data og oplysninger om bruger-identitet.
I undersøgelsen trackes data fra mere end 88.000 apps fra Google Play Store efter de har fået nej til at høste data.
Kan høste på wifi
I alt har omgår 1.325 apps afvisningen ved hjælp af workarounds skjult i koden. Den gør, at appsene i stedet høster de personlige data fra andre kilder en telefonen - eksempelvis Wifi-forbindelsen og metadata skjult i foto.
Eksempelvis viser undersøgelsen, at foto-appen Shutterfly har indsamlet GPS-koordinater fra foto på telefonen og sendt dem til Shutterfly-servere - også når brugerne har sagt nej.
Det afviser Shutterfly dog blankt. Selskabet meddeler, at det alene modtager data, hvis der er givet eksplicit tilladelse.
Andre apps anvender andre metoder. Eksempelvis har undersøgelsen vist, at en række apps snylter på andre apps, der har fået tilladelse til at tilgå data.
Det gælder blandt andet Baidus Hong Kong Disneyland-app, mens også Samsungs Health and Browser-app har muligheden, hedder det.
Research director Serge Egelman peger på, at problemet ofte skyldes, at brugerne har kontrol over API’erne, men ofte ikke over fil-systemet.
Det betyder, at apps, som bliver nægtet adgang til data, alligevel kan tilgå fil-systemet, hvor det er muligt at finde data.
Meget få værktøjer
“Grundlæggende har forbrugerne meget få værktøjer, som de kan anvende til at kontrollere deres privacy på en rimelig måde,” siger han til Cnet.
“Det er ret meningsløst at bede forbrugerne om tilladelse, hvis app-udviklerne alligevel bare kan omgå beslutningen.”
Ifølge Serge Egelman har International Computer Science Institute gjort Google opmærksom på problemet.
Google har ifølge ham meddelt, at problemet med læk af geolokations-oplysninger vil blive løst med lanceringen af Android Q senere på året.
Opdateringen vil sørge for at skjule placerings-data og kræve, at alle apps, der tilgåes via Wifi, også skal have særlig tilladelse til at afgive lokations-data.
International Computer Science Institute vil offentliggøre hele listen med de 1.325 Android-apps i forbindelse med Usenix sikkerhedskonferencen, der løber af stablen til august.
Læs også:
Google: Android er verdens mest sikre styresystem (hvis du har den rigtige version)
