autor: Bartosz Świątek
Funkcja Androida pozwala firmom sprawdzić, co zainstalowałeś na telefonie
Jedna z funkcji systemu operacyjnego Android pozwala firmom trzecim zbierać informacje na temat aplikacji zainstalowanych na smartfonach użytkowników. Chodzi o tzw. IAM – element interfejsu programowania o pełnej nazwie Installed Application Methods.
W SKRÓCIE:
- badacze przetestowali funkcję IAM zawartą w API systemu Android;
- ich zdaniem mechanizm ten stanowi zagrożenie dla prywatności użytkowników;
- IAM często jest wykorzystywane do zbierania informacji, które można wykorzystać np. do targetowania reklam.
System operacyjny Android posiada mało znaną funkcję, która może stanowić zagrożenie dla prywatności użytkowników. Umożliwia ona firmom dowiedzenie się, jakie aplikacje dana osoba ma zainstalowane na swoim smartfonie. Co więcej, koncerny bardzo chętnie z tej możliwości korzystają. Źródłem informacji jest raport przygotowany przez czterech badaczy pochodzących ze Szwajcarii, Włoch i Holandii.
Źródłem problemu jest zestaw instrukcji API (ang. Application Programming Interface – interfejs programowania aplikacji) zwany Installed Application Methods (w skrócie IAM), z którego często korzystają deweloperzy różnych programów. Umożliwia on wykrycie konfliktów z innym oprogramowaniem, które mogłyby skutkować brakiem kompatybilności. Naukowcy przetestowali łącznie przeszło dwadzieścia tysięcy aplikacji i aż 30,29% z nich wykorzystuje IAM.
Znajomość aplikacji znajdujących się na telefonie pozornie może wydawać się niegroźna, ale z tego typu danych można wyciągnąć szereg informacji przydatnych np. przy targetowaniu reklam (personalizowaniu ich w taki sposób, by lepiej pasowały do danego użytkownika). Chodzi m.in. o detale dotyczące zainteresowań, rasy, płci czy znanych języków. Co gorsza, posiadacz telefonu nie ma żadnego wpływu na działanie IAM – nie może np. nie wyrazić zgody na zbieranie omawianych danych. Tzw. zapytania IAM mogą być nawet kierowane przez daną firmę bez wiedzy twórcy danej aplikacji – wystarczy, że wykorzystuje ona konkretną funkcję (np. pakiet analityczny lub bibliotekę reklamową).
Jak można się domyślić, wiele podmiotów wspomnianą możliwość wykorzystuje. Jak wiele? Dość powiedzieć, że blisko połowa zapytań kierowanych do IAM dotyczy listy zainstalowanych aplikacji. Oznacza to, że omawiane instrukcje są najczęściej wykorzystywane właśnie do zbierania informacji, a nie tzw. debuggowania. Dowodem na to jest fakt, że zapytania najczęściej dotyczą programów komercyjnych i są powiązane z dodatkowymi bibliotekami, a nie kodem samego oprogramowania.
Badacze skonkludowali swój raport stwierdzając, że IAM stało się narzędziem do zbierania informacji o użytkownikach. Naukowcy rekomendują, by Google ograniczyło działanie tego elementu API – najlepiej przez umożliwienie posiadaczowi smartfona dokonania w tej kwestii wyboru, poprzez wyświetlenie klasycznego żądania dostępu.
- Android – strona oficjalna
- Raport Leave my Apps Alone! A Study on how Android Developers Access Installed Apps on User’s Device