Android-приложения могут отслеживать местоположение и получать другие данные, даже если не получали разрешение на это

На конференции PrivacyCon 2019 была опубликована достаточно печальная новость про Android-приложения и возможности их доступа. Если конкретнее, то некоторые из них могут получать данные, даже если не получили на это разрешение.

Вы наверняка сталкивались с тем, что приложения просят доступ к памяти телефона, к геолокации и многим другим данным. Как выяснилось, порою им достаточно получить данные к памяти на телефоне, и они могут получить все остальные данные. Суть в получении данных от других приложений. Другое приложение, получившее разрешение, честно работает, но кэширует полученные данные. Приложение, не получившее данные, может спокойно просмотреть папку с другим приложением и вытащить данные из его кэша к себе.

Конечно, для этого нужно, чтобы разработчик приложения самостоятельно прописал такой нюанс. К тому же, нужно чтобы приложения были написаны при помощи одного SDK и ряду других схожих параметров. Учитывая не самое большое разнообразие, большинство приложений могут использовать одни и те же методы разработки, хоть и будет выглядеть совершенно по-разному и исполнять совершенно разные обязанности.

Ограничить подобную проблему хотели еще в Android Q (Android 10), но потом сообщили, что функция Scoped Storage будет реализована только в Android R. Суть её заключается в том. Что приложения будут ограничены только своей системной папкой, а при разрешении будут получать доступ только к определенным папкам, к примеру, папке Downloads.

Вот только релиз Android R стоит ожидать только в 2020-м году, а учитывая не самый большой темп распространения обновлений, некоторые пользователи могут не получить обновления и будут жертвами подобных приложений еще многие годы после.

ftc.gov