Vurdering av misbruk av tillatelsesforespørsler i lommelyktapper for Android

På Avast-bloggen publisert resultatene av en studie av tillatelsene som ble forespurt av applikasjoner presentert i Google Play-katalogen med implementering av lommelykter for plattformen AndroidTotalt 937 lommelykter ble funnet i katalogen, hvorav syv inneholdt ondsinnet eller uønsket aktivitet, mens resten kan anses som «rene». 408 apper ba om 10 eller færre tillatelser, mens 262 apper krevde samtykke for 50 eller flere tillatelser.

De 10 appene ba om mellom 68 og 77 legitimasjon, hvor fire av dem ble lastet ned mer enn en million ganger, to omtrent 500 100 ganger og fire omtrent XNUMX XNUMX ganger.

Når man analyserte hvilke spesifikke krefter som etterspørres av applikasjoner med den deklarerte funksjonaliteten til en lommelykt (ikke en lommelykt som en relatert funksjon, men applikasjoner som stort sett bare posisjonerer seg som en lommelykt), ble det avslørt at 77 applikasjoner ber om lydopptaksfunksjoner, 180 krever lese data fra adresseboken, 21 - tilgang til å skrive til adresseboken, 180 - muligheten til å ringe, 131 - tilgang til nøyaktig plassering, 63 - svare på anrop, 92 - ringe, 82 - motta SMS, 24 - laste ned data uten varsel.

282 programmer krever tilgang til funksjonen for tvungen avslutning av bakgrunnsprosesser (forutsatt at denne funksjonen brukes til å avslutte prosesser for å redusere strømforbruket). Faktisk, for at lommelykten skal fungere, trenger du bare tilgang til kameraets blits-LED og, valgfritt, muligheten til å blokkere enheten fra å gå i hvilemodus.

Som et eksempel analyseres en typisk lommelyktapplikasjon, der bare lommelyktfunksjonen er deklarert og det skrives at applikasjonen ikke krever ytterligere tillatelser. Faktisk ber programmet om 61 tillatelser, inkludert muligheten til å ringe, lese adresseboken, bestemme plassering, bruke Bluetooth, administrere tilstanden til nettverkstilkoblingen, få en liste over installerte applikasjoner og lese og skrive til ekstern lagring.

Kilde: opennet.ru