Android:Forskere fortæller bekymrende resultater af forudinstalleret software

En undersøgelse "An Analysis of Pre-installed Android Software" siger, at forudinstallerede Android-apps svarer til en bådladning af privatlivsproblemer. Bare spørg IMDEA Networks Institute, Stony Brooks University, Universidad Carlos II de Madrid og ICSI. De har forfattet undersøgelsen.

De talte om sporings- og reklametjenester, der er indlejret i mange forudinstallerede apps, og de partnerskaber, der tillader informationsdeling, og kontrol, der skal gives til forskellige andre virksomheder gennem tilladelser, bagdøre og sidekanaler.

ICSI står for International Computer Science Institute. IMDEA er en forskningsorganisation i Madrid. Dens fokus er på computer- og kommunikationsnetværk.

Problemet spores tilbage til nogle hardwareleverandører; de forudindlæser Android-enheder med apps, der kan absorbere brugerdata. Åh, og bebrejde ikke dumme, skødesløse brugere (i det mindste for at tillade høst-apps). De er ikke opmærksomme, fordi de ikke bliver bedt om at skrive under på noget.

Undersøgelsens forfattere fandt, at en række smartphones, der muliggør tredjepartsadgang til brugerdata, uden samtykke, involverede ikke-Google forudinstallerede apps.

EL PAIS :Tidligere forskning om risikoen for privatlivets fred fra mobiltelefoner kan have kigget på Google Play, men dette hold analyserede i stedet forudinstallerede apps på standardtelefoner "og det viser sig, at på grund af et komplekst økosystem af producenter, mobiloperatører, app-udviklere og tjenesteudbydere, garantierne fra Android ser mindre end idiotsikre ud."

Hjælpsomt at påpege her, som Reuters rapporterede, at enhedsproducenter, med Androids open source natur, kunne tilpasse og pakke andre apps med operativsystemet.

Undersøgelsen satte fokus på nogle 1, 700 enheder fra 200 hardwareproducenter. Sonden involverede 82, 000 forudinstallerede apps.

ZDNet sagde, at "Ifølge forskere, den mest brugte tilladelse blandt apps, der også integrerer et tredjeparts-SDK, er tilladelsen til at læse systemlogfiler, efterfulgt af muligheden for at montere/afmontere lagerplads, og muligheden for at installere andre apps."

Harry Domanski for TechRadar pegede på de leverandører, der leverer deres egen version af open source-operativsystemet. På tur, de misbruger platformen til at frigive produkter med "integrerede dataindsamlingstjenester."

Bolden kan til tider falde i dit hjørne - nogle gange. At downloade "en dataindsamlingsapp og acceptere, at den bruger alle dine detaljer til markedsføringsformål" er ok, sagde Roland Moore-Colyer for SPØRGER .

Problemet her er, at undersøgelsen ser på apps, der kommer til dig forudinstalleret og ikke gør det klart for dig om dataindsamlingsaktiviteter. Som Moore-Clyer påpegede, denne dataindsamling kan være bevidst eller blot resultatet af "en eller anden dum implementering."

Catalin Cimpanu kiggede på undersøgelsen og noterede sig nogle yderligere gnidninger. Han fortalte ZDNet læsere, at "mange forudinstallerede apps (også kaldet bloatware) ikke kan fjernes, og også bruge tredjepartsbiblioteker, der i hemmelighed indsamler brugerdata fra applikationer med godartet udseende og uskyldigt navngivne."

I betragtning af alt det, så meget opmærksomhed bør fokuseres på løsninger såvel som årsager. Når man leder efter løsninger, landskabet er kompliceret. Vanskeligheden ligger i forsyningskædens natur. Moore-Clyer sagde, at "forsyningskæden af ​​både software og hardware kan være ret indviklet med alle mulige aftaler, der bliver lavet for at sikre visse apps og tjenester på enheder, uden nogen til at overvåge en sådan aktivitet."

Domanski henviste til et "utal af skuespillere" lige fra softwareudviklere til annoncører, "potentielt involveret i hemmelige partnerskaber."

EL PAIS:"En Android-mobiltelefon produceres ikke af kun én producent. Chippen kommer fra én virksomhed, og opdateringerne af operativsystemet vil muligvis blive outsourcet til en anden, mens separat software vil blive tilføjet af mobiloperatører og distributører. Der er mange flere aktører involveret i det endelige produkt ... resultatet er et økosystem så komplekst, at alle aktører kan omgå ansvaret for, hvor vores personlige data ender...Og det, der tilhører alle, tilhører ingen."

Forfatterne præsenterede deres "anbefalinger for at forbedre gennemsigtigheden, tilskrivning, og ansvarlighed i Android-økosystemet."

Det SPØRGER sagde et forslag har været, at en tredjepart skal overvåge, hvad forudinstallerede apps laver og sikre, at de overholder retningslinjerne for beskyttelse af personlige oplysninger. "Boffinerne regner med, at Google kunne påtage sig denne rolle i betragtning af dens magt til at licensere Android."

Et andet forslag var, at regeringer og regulerende organer skulle vedtage regler.

Domanski sagde, at et globalt betroet regulerende organ, som forfatternes forslag lyder, ville underskrive softwarecertifikater i stedet for leverandørerne.

I mellemtiden teknologigiganter er i søgelyset vidt og bredt på grund af den generelle bekymring over sporing og indsamling af brugerdata ("Forudinstallerede apps for nylig har fået øget kontrol, " bemærkede Reuters).

TechCrunch rapporterede om Googles reaktion på undersøgelsen. Natasha Lomas skrev, "Google har reageret på avisen med følgende erklæring - tilskrevet en talsmand."

"Vi sætter pris på forskernes arbejde og har været i kontakt med dem vedrørende bekymringer, vi har omkring deres metode. Moderne smartphones inkluderer systemsoftware designet af deres producenter for at sikre, at deres enheder kører korrekt og opfylder brugernes forventninger. Forskernes metodologi er ikke i stand til at differentiere forudinstalleret systemsoftware – såsom opkaldsprogrammer, appbutikker og diagnosticeringsværktøjer – fra skadelig software, der har fået adgang til enheden på et senere tidspunkt, gør det svært at drage klare konklusioner."

Google fortsatte med at oplyse, at de arbejdede med "OEM-partnere" for at hjælpe med at sikre sikkerheden af ​​apps, de beslutter at forudinstallere på enheder. De leverer også "værktøjer og infrastruktur" til at hjælpe partnere med at scanne deres software. Sidst men ikke mindst, de erklærede, at de gav partnere politikker vedrørende sikkerheden af ​​forudinstallerede apps, "og regelmæssigt give dem information om potentielt farlige pre-loads" identificerede de.

Godt, det er interessant.

Forfatterne af papiret havde sagt, at forsyningskæden omkring Androids open source-model manglede gennemsigtighed og har lettet potentielt skadelig adfærd og bagdørsadgang til følsomme data og tjenester uden brugerbevidsthed.

Forfatterne, i deres sidste bemærkninger, sagde, "På trods af et helt års indsats, vi var kun i stand til at ridse overfladen af ​​et meget større problem. Dette arbejde er derfor undersøgende, og vi håber, det vil bringe mere opmærksomhed til det forudinstallerede Android-software-økosystem og dets indvirkning på brugernes privatliv og sikkerhed."

© 2019 Science X Network