Ацэнка злоўжывання запытам паўнамоцтваў у прыкладаннях-ліхтарыках для Android

У блогу кампаніі Avast апублікаваныя вынікі вывучэння паўнамоцтваў, запытаных прадстаўленымі ў каталогу Google Play прыкладаннямі з рэалізацыяй ліхтарыкаў для платформы Android. У суме ў каталогу знойдзена 937 ліхтарыкаў, з якіх у сямі выяўлены элементы шкоднаснай ці непажаданай актыўнасці, а астатнія можна лічыць "чыстымі". 408 прыкладанняў запытвалі 10 і менш паўнамоцтваў, а ў 262 дадатках патрабавалася згоду з прадастаўленнем 50 і больш паўнамоцтваў.

10 прыкладанняў запытвалі ад 68 да 77 паўнамоцтваў, пры гэтым чатыры з іх былі загружаны больш за мільён разоў, два каля 500 тысяч разоў і чатыры каля 100 тысяч разоў.

NДадатакЛік паўнамоцтваўКолькасць загрузак

1 Ультракаляровы ліхтарык 77100,0002 Супер яркі ліхтарык 77100,0003 Ліхтарык Плюс 761,000,0004 Brightest LED Flashlight – Multi LED & SOS Mode 76100,0005 Fun Flashlight SOS mode & Multi LED 76100,0006 Super Flashlight LED & Morse code 741,000,0007 FlashLight - Brightest Flash Light 711,000,0008 Ліхтарык для samsung 70500,0009 Flashlight - Brightest LED Light & Call Flash681,000,00010 Бясплатны ліхтарык - самы яркі святлодыёд, экран выкліку68500,000

Пры аналізе, якія менавіта паўнамоцтвы запытваюць прыкладанні з заяўленай функцыянальнасці ліхтарыка (не ліхтарык як спадарожная функцыя, а прыкладанні, у асноўнай масе пазіцыянуючыя сябе толькі як ліхтарык) было выяўлена, што 77 прыкладанняў запытваюць функцыі запісу гуку, 180 патрабуюць чытанні дадзеных з адрас 21 - доступ на запіс у адрасную кнігу, 180 - магчымасць здзяйсняць званкі, 131 - доступ да дакладнага месцазнаходжання, 63 - адказваць на званкі, 92 - здзяйсняць званкі, 82 - атрымліваць SMS, 24 - загружаць дадзеныя без апавяшчэння.

282 праграмы патрабуюць доступу да функцыі прымусовага завяршэння фонавых працэсаў (мяркуецца, што дадзеная магчымасць выкарыстоўваецца для завяршэння працэсаў для зніжэння энергаспажывання). Пры гэтым фактычна для працы ліхтарыка неабходны толькі доступ да святлодыёда выбліску камеры і апцыянальна магчымасць блакаваць пераход прылады ў спячы рэжым.

У якасці прыкладу разабрана тыповая дадатак-ліхтарык, у якім заяўлена толькі функцыя ліхтарыка і напісана, што прыкладанне не патрабуе дадатковых паўнамоцтваў. На справе ж праграма запытвае 61 паўнамоцтва, сярод якіх магчымасць здзяйсняць званкі, чытаць адрасную кнігу, вызначаць месцазнаходжанне, выкарыстоўваць Bluetooth, кіраваць станам сеткавага падлучэння, атрымліваць спіс усталяваных прыкладанняў, чытаць і запісваць у вонкавае сховішча.

Крыніца: opennet.ru