Ошибка в коде Android позволяет почти любому приложению осуществлять доступ к фотографиям пользователя и загружать их на удаленный сервер. Об этом, как сообщает РИА "Новости", написала газета The New York Times со ссылкой на экспертов по информационной безопасности.
"Мы можем подтвердить, что для того, чтобы Android-приложение получило доступ к фотографиям и картинкам пользователя, никаких дополнительных разрешений приложению давать не нужно", - сказал газете технический директор антивирусной компании Lookout Кевин Махаффи.
В компании Google, разрабатывающей Android, по запросу газеты также признали наличие уязвимости. Как рассказал представитель компании, возможность неограниченного доступа приложений к фотографиям обусловлена тем, как программы взаимодействовали с пользовательским контентом в ранних устройствах на Android.
Так как чаще всего фотографии сохранялись на сменной карте памяти, внедрять систему запроса приложением разрешения на доступ к фотографиям было практически бессмысленно, поскольку пользователь мог разрешить программе осуществлять доступ к фотографиям на одной карте памяти, но потом заменить ее на другую.
Если на новой карте памяти хранились фотографии, которые пользователь решил сохранить в тайне, то ему бы пришлось устанавливать приложение заново, чтобы запретить программе доступ к фотографиям – в Android разрешения на доступ к различным функциям смартфона пользователь должен дать до установки приложения.
"Мы использовали этот механизм, поскольку на момент его создания большинство Android-смартфонов оснащалось съемными картами памяти. Теперь же, когда появляется все больше устройств с собственной памятью, мы рассматриваем возможность внесения изменений в то, как программы взаимодействуют с пользовательскими данными", - сказал NYT представитель Google.
Ранее похожая уязвимость была обнаружена в системе iOS, на которой работают iPhone и iPad. Однако в случае с iOS для того, чтобы уязвимость сработала, от пользователя требовалось дать приложению разрешение на доступ к геолокационным данным, хранящимся в телефоне. В случае с уязвимостью для Android не нужно и этого.
Обнаруженная ранее уязвимость в iOS работала следующим образом: запущенное впервые после установки iOS-приложение с геолокационными функциями, как правило, запрашивает разрешение на доступ к информации о местоположении пользователя. Если пользователь дает такое разрешение, то приложение получает доступ к геолокационным меткам, сопровождающим фотографии и видеоролики. В результате приложение получает доступ к библиотеке фотографий устройства без какого-либо дополнительного уведомления.
Компания Apple пока не прокомментировала информацию американской газеты. По словам разработчиков, многие из них знали об уязвимости, однако предполагали, что Apple не допускает в App Store приложения, эксплуатирующие ее. Есть ли в App Store утвержденные Apple программы, которые могут использовать эту уязвимость, пока неизвестно.