Česká firma Avast vydala zprávu, ve které se odkazuje na jimi provedené šetření, ze kterého vzešla znepokojivé zjištění. Tzv. svítilnové aplikace neboli flashlight dostupné na Google Play obsahují obrovské množství oprávnění k vašemu telefonu a jsou tak potenciálně nebezpečné. Pro používání takových aplikací není navíc vůbec žádný důvod, jelikož již od Androidu 5.0 Lollipop je v systému defaultně přítomno zapínání zadního blesku u fotoaparátu neboli svítilny přímo pomocí systémové tlačítka umístěného v ovládacím panelu.
Neinstalujte něco, co už máte. Může to být nebezpečné
Aby aplikace správně na telefonu fungovala, potřebuje povolit určitá oprávnění, ne všechna oprávnění jsou však k funkčnosti aplikace potřeba. Do Androidu 10 nebyla možnost zvolit, která oprávnění aplikaci dáte, uživatel musel povolit buď všechny nebo nemohl aplikaci používat.
„Některá oprávnění požadovaná zkoumanými svítilnami jsou opravdu těžko vysvětlitelná, jako například možnost záznamu zvuku, které požaduje 77 aplikací; možnost číst seznamy kontaktů vyžadována 180 aplikacemi; nebo dokonce možnost psát kontaktům, což vyžaduje 21 flashlight aplikací,“ popisuje Luis Corrons, výzkumník v Avastu.
Avast prozkoumal několik set aplikací, které nabízí funkci rozsvícení tzv. blesku na telefonu. Přes 180 zkoumaných aplikací požaduje přístup ke kontaktům, obdobný počet aplikací požaduje, aby mohly uskutečňovat hovory či získat informace o vaší poloze. Skoro osmdesát aplikací též může uživatele nahrávat aniž by o tom věděl.
Bezpečností technici z Avast rozčlenili požadovaná oprávnění do několika kategorií a červeně označené jednotlivé požadavky jsou ty nezávažnější. Zneužití se dotýkalo jak úniku osobních dat, změny nastavení sítí či obejití bezpečnostních prvků telefonu.
Top 10 aplikací na Google Play vyžadujících nejvíce oprávnění
„Svítilny, které jsme zkoumali, jsou pouze příkladem toho, jak i ty nejjednodušší aplikace mohou získávat osobní údaje. K datům pak získají přístup nejen vývojáři stažených aplikací, ale i partneři, se kterými vývojáři spolupracují na monetizaci. Zásady ochrany osobních údajů vývojářů bohužel nezahrnují vše, protože v mnoha případech jsou na ně navázány další zásady třetích stran,“ doplňuje Corrons.
Název aplikace / Počet oprávnění / Počet stažení
- Ultra Color Flashlight / 77 / 100 000
- Super Bright Flashlight /77 / 100 000
- Flashlight Plus /76/ 1 000 000
- Brightest LED Flashlight / 76 / 100 000
- Fun Flashlight SOS mode & Multi LED / 76 / 100 000
- Super Flashlight LED & Morse code / 74 /1 000 000
- FlashLight – Brightest Flash Light / 71 / 1 000 000
- Flashlight for Samsung /70 / 500 000
- Flashlight – Brightest LED Light &Call Flash / 68 / 1 000 000
- Free Flashlight – Brightest LED, Call Screen / 68 / 500 000
„Pokud jde o označování aplikací vyžadujících příliš mnoho oprávnění za škodlivé nebo potenciálně nežádoucí, dostáváme se do šedé zóny. I to je důvod, proč je mnoho bezpečnostních aplikací neoznačuje jako škodlivé. Aplikace mohou požadovat podivná oprávnění, ale to neznamená, že by samy o sobě vykonávaly škodlivé činnosti. Když uživatel nainstaluje aplikaci, udělí jí a všem přidruženým třetím stranám právo provádět akce uvedené v sekci oprávnění. Aby mohli vydělávat peníze od inzerentů, vývojáři aplikací často integrují do svého kódu sady vývojových nástrojů (SDK). A aby tyto sady SDK mohly cílit na uživatele pomocí reklam, vyžadují nesčetná množství oprávnění.“
Zdroj: decoded.avast.io