Учёные: Приложения Android скрытно шпионят за пользователем даже без GPS и Wi-Fi

Исследователи из Северо-Восточного университета (США) создали Android-приложение, у которого нет никаких разрешений на доступ к данным GPS или Wi-Fi,  однако даже в таком усечённом варианте оно оказалось способно отслеживать вероятное местоположение пользователя. По мнению учёных, аналогичный функционал могут иметь и другие коммерческие или любительские приложения, при этом официально об этом их разработчики не предупреждают пользователей. Текст соответствующей работы доступен на сайте университета.

Созданное учёными приложение для Android использовало доступ только к стандартным сенсорам телефона — гироскопу, акселерометру и магнитометру. Обычно для обращения к ним программному обеспечению не нужно разрешение пользователя. Исходя из местоположения самого телефона (во время скачивания программы из Google Market) и показаний этих трёх сенсоров программа, созданная исследователями, работала импровизированным шагомером. Из данных гироскопа и акселерометра она различала, двигается ли пользователь телефона на машине или идёт пешком (характер ускорений при этом разный). Затем авторы работы заставили программу рассчитывать 10 стандартных маршрутов для каждого пользователя и в эксперименте сличили их с реальными маршрутами владельцев телефона, на которых стояла такая программа. В 50 процентов случаев один из 10 самых вероятных маршрутов совпадал с реальным.

Чтобы смоделировать маршрут того или иного человека в 11 городах, использованных для эксперимента, брались открытые данные OpenStreetMap и на них накладывались показания гироскопа, акселерометра и магнитометра. По последнему определялось направление движения (компас), по первому и второму — ускорения и угол поворота.

Авторы работы отмечают, что такое приложение формально полностью легально и не нарушает никаких известных законов США. При этом оно даёт довольно достоверные данные о пользователе, не ставя его об этом в известность. Пусть их точность слишком низка, чтобы заинтересовать спецслужбы, тем более что те всегда могут помимо воли пользователя считать его данные GPS или точки Wi-Fi, к которым он подключается при перемещении. Но для частных компаний даже сведения от программного обеспечения с нулевыми правами доступа весьма ценны. Многие коммерческие потребители интересуются сведениями по посещаемости тех или иных маршрутов в крупных городах. Такие данные позволяют сделать рекламу более адресной или понять, насколько привлекательны вложения в коммерческую недвижимость в том или ином районе города.

Возможности потребителя-жертвы бороться со скрытным слежением со стороны смартфона весьма ограничены. Авторы посоветовали пользователям стараться не держать включенными в фоновом режиме программы, которые не нужны "прямо сейчас" и вообще не устанавливать слишком много приложений на телефон. Эффективность таких рекомендаций они сами оценивают как умеренную.