Android-apper lekker brukerdata

Programvare avslører synderne.

Digi.no skrev i sommer om en undersøkelse gjort av SMobile System, som viste at 20 prosent av Android-applikasjonene i Android Market har egenskaper som minner om spionvare.

Nå er forskere ved Duke University, Pennsylvania State University og Intel Labs i ferd med å utvikle en Android-applikasjon som er designet til å identifisere applikasjoner som overfører private data uten å fortelle om det til brukeren. Den kommende applikasjonen, som kalles TaintDroid, overvåker hvordan andre applikasjoner aksesserer og bruker sensitive persondata, slik som telefonnumre, geografisk posisjon og kamera.

I en pressemelding skriver Duke University om et eksempel, hvor en applikasjon som egentlig bare skal vise bakgrunnbilder, også sender mobilens telefonnummer og andre informasjon som kan identifisere mobilen, til imnet.us. Dette er et nettstedet lokalisert i Shenzhen, Kina. Et opptak av dette kan sees i videoen nedenfor.

Forskerne har brukt TaintDroid for å analysere 30 vilkårlig utvalgte applikasjoner blant de 358 mest populære gratisapplikasjonene i Android Market som har tilgang til både Internett og potensielt sensitiv informasjon som geografisk posisjon, kamera, lyd og informasjon om selve mobilen. 15 av de testede applikasjonene sendte private brukerdata til annonsetjenester, og to av tre applikasjoner håndterte data på uklare måter.

– Vi fant det overraskende at lokaliseringsinformasjon ble det med annonsenettverk uten noen form for forklaring eller varsling, sier Jaeyeon Jung ved Intel Labs, i en pressemelding.

Forskergruppen observerte at visse applikasjoner deler data fra GPS-sensoren med annonseservere kun når annonser ble vist til brukeren. Andre applikasjoner delte slike data med eksterne servere også når applikasjonen ikke egentlig var i bruk. I noen tilfeller ble informasjonen delt så ofte som hvert 30. sekund.

– Vi har ikke data til å si at majoriteten av tredjeparts applikasjoner er upålitelige. Underslkelsen er et konseptbevis for å demonstrere verdien av utvide smartmobilplattformer med sanntids overvåkingsverktøy som TaintDroid for å gi brukerne av forståelse om hvordan informasjonen deres blir brukt, sier Landon Cox, universitetslektor i informatikk ved Duke University.

Forskerne har fokusert på Andoid-plattformen, men mener at resultatene av undersøkelsen viser at også andre operativsystemer bør granskes.

Når en bruker installerer en applikasjon i Android, får brukeren beskjed om hvilken tjenester og data på mobilen applikasjonen må ha tillatelse til å aksessere. Dersom brukeren mener at applikasjonen ber om for mye, kan installasjonen avbrytes.

– Tillatelsene forteller ikke brukeren noe om hvordan deres data vil bli brukt, og i noen tilfeller misbrukt, sier Cox.

Det TaintDroid gjør er å bruke en vitenskaplig teknikk som kalles «dynamic taint analysis» for å markere interessant informasjon med en identifikator som kalles en «taint». Denne identifikatoren følger informasjonen når den blir brukt og gjør det dermed enkelt å spore bevegelsene til den aktuelle informasjonen. Brukeren blir deretter varslet om disse bevegelsene.

Flere detaljer om forskernes arbeid, inkludert selve rapporten, er tilgjengelige på denne siden.

TaintDroid er foreløpig ikke utgitt, men kildekode til applikasjonen skal gjøres tilgjengelig via denne siden.

    Les også:

Til toppen