Популярные приложения в Google Play запрашивают излишние разрешения

Исследователи из Cybernews провели анализ 50 наиболее популярных приложений в магазине Google Play и обнаружили тревожную тенденцию: в среднем каждое приложение запрашивает 11 нежелательных разрешений. Через настройки мы, сами того не осознавая, можем предоставить приложениям доступ к конфиденциальным данным пользователей и ключевым функциям телефона. Так пишет Securitylab.

Команда изучила файлы Manifest, которые определяют, к чему приложение может получить доступ на устройстве. Всего существует 41 разрешение, способное повлиять на конфиденциальность пользователя или основные функции телефона. Эксперты подчеркивают: лучшие практики разработки требуют запрашивать минимальное количество данных — только те, которые действительно необходимы для выполнения конкретного действия. Однако многие разработчики, похоже, игнорируют этот принцип.

Лидером по количеству запрашиваемых разрешений стало приложение MyJio: For Everything Jio, разработанное популярным индийским провайдером телекоммуникационных и цифровых услуг. Оно запрашивает целых 29 разрешений, включая доступ к местоположению, распознаванию активности, радиомодулям, камере, микрофону, календарю и файлам.

На втором месте оказался WhatsApp от Meta*, требующий 26 разрешений. За ним следуют Truecaller (24 разрешения), Google Messages и WhatsApp Business (по 23 разрешения), Facebook (22) и Instagram (19).

Интересно, что некоторые популярные игры, такие как Among Us, запрашивают минимум разрешений или вообще обходятся без них. Однако эксперты предупреждают: меньшее количество разрешений не обязательно означает безопасность приложения.

Самым распространенным запросом оказалось разрешение на отправку уведомлений — его запрашивают 47 из 50 приложений.

Эксперт по безопасности Мантас Касиляускис предупреждает: эту функцию могут применять поставщики шпионского ПО для отслеживания пользователей. Более того, в 2023 году сенатор США Рон Уайден предупредил, что уведомления могут облегчать правительственную слежку, так как они проходят через посредника — своего рода «цифровое почтовое отделение».

Второе по популярности разрешение — доступ к хранилищу за пределами директории приложения. 40 приложений просят разрешение на запись, а 34 — на чтение файлов из внешнего хранилища. Это означает, что они могут получить доступ, например, к фотографии вашего удостоверения личности, сохраненной на устройстве.

Доступ к камере и запись аудио занимают следующие места в списке самых запрашиваемых разрешений — их требуют 33 приложения. Хотя эти функции необходимы для работы многих приложений, они также могут быть использованы злоумышленниками, шпионами и даже рекламными компаниями для настройки таргета.

Более половины проанализированных программ (26) хотят отслеживать точное местоположение пользователя с точностью до нескольких метров. Столько же приложений запрашивают доступ к контактам.

22 приложения из 50 требуют доступ к Bluetooth, что позволяет им соединяться с другими устройствами и потенциально обмениваться данными. Столько же приложений хотят мониторить состояние телефона. Касиляускис подчеркивает: это особенно чувствительная настройка, предоставляющая доступ к критической информации о состоянии устройства и его взаимодействии с сетями, включая номер телефона, информацию о текущей сотовой сети, текущих вызовах и уникальный идентификатор.

Мессенджеры и социальные сети наиболее падки до данных пользователей. В среднем приложения для коммуникации запрашивают почти 19 разрешений, а социальные сети — 17,2 опасных разрешения. Все проанализированные программы получают доступ к камерам и файлам, большинство записывает аудио, отслеживает данные о местоположении, читает контакты и состояние телефона, а также получает информацию об аккаунтах.

Игровые приложения оказались менее требовательными — в среднем они требуют только 4 опасных разрешения. Однако и здесь есть исключения: например, Mobile Legends: Bang Bang требует 12 разрешений, а PUBG Mobile — 11.

Большинство игр (16 из 19) хотят отправлять уведомления. Десять игр — записывать данные во внешнее хранилище, а девять — читать эти данные. Восемь игр просят разрешения на запись аудио, а семь — на доступ к камере. Некоторые игры даже пытаются получить доступ к календарю (3), чтению состояния телефона (3) и точному местоположению.

Приложения для шоппинга запрашивают в среднем 13,4 опасных разрешения. При этом Lazada и AliExpress требуют 16-17 разрешений, а Wish обходится всего семью.

Все услуги для покупок запрашивают доступ к камере, геолокации, отправке уведомлений, а также чтению и записи в хранилище. Некоторым из них также нужен доступ к Bluetooth.

По словам экспертов Cybernews, даже приложения с нулевым количеством опасных разрешений могут представлять угрозу. Они все равно получают доступ к множеству нейтральных разрешений при установке на устройство, включая возможность запуска при загрузке системы, работы в фоновом режиме и полный доступ к сети.