«Шпионаж» силами Android

Компания Malwarebytes, специализирующаяся на кибербезопасности, обнаружила способ отслеживания перемещений владельцев смартфонов с операционной системой Android. Он хоть и требует физического доступа к гаджету жертвы, но не предполагает установки какого-либо стороннего программного обеспечения. «Шпионить» за пользователем позволяют сервисы Google, присутствующие на большинстве современных Android-устройств.

Уязвимость, которую с легкостью можно принять за особенность, совершенно случайно выявил исследователь в области информационной безопасности Питер Арнц (Pieter Arntz), когда помогал своей жене установить платное приложение на ее смартфон. Для того, чтобы оплатить покупку, он вошел в собственный аккаунт Google на ее мобильном телефоне. Убедившись в том, что после установки приложение работает корректно, он вернул устройство супруге, забыв при этом выйти из учетной записи.

Позднее, просматривая раздел «Хронология» (Timeline) в приложении «Карты Google» (Google Maps) уже на своем девайсе, Арнц заметил странное: в истории его перемещений за день были отмечены места, которые он не посещал, хотя и проходил неподалеку. Специалист тогда решил, что дело в неточности определения местоположения со стороны Google, однако свои наблюдения не прекратил.

Спустя несколько дней он вновь обратился к «Хронологии», и на этот раз результат оказался еще более необычным: в числе посещенных мест были и такие, по соседству с которыми Арнц вообще не появлялся, зато их посещала его жена. Тут-то на Арнца и снизошло озарение: сервис Google выдает историю передвижения как его собственную, так и его благоверной.

Незаметная слежка

Меж тем супруга и не подозревала, что за ней следят. Во-первых, при первичной настройке телефона она запретила Google вести «Хронологию», во-вторых, единственным индикатором того, что история перемещений на данном устройстве отслеживается, был изменившийся аватар пользователя (небольшой кружок с фотографией в правом верхнем углу интерфейса «Карт Google»).

Как выяснилось, однократного вхождения в учетную запись с Android-смартфона для посещения магазина приложений Google Play достаточно, чтобы эта учетная запись «осела» на устройстве. Таким образом, просто выйти из чужой учетной записи, чтобы прекратить отслеживание не получится – нужно целенаправленно удалить чужой аккаунт в настройках Android.

Не баг, а фича

Питер Арнц сообщил Google об обнаруженной бреши, которая потенциально позволяет злоумышленникам «шпионить» за любым владельцем Android-смартфона, однако он опасается, что Google сочтет это «не багом, а фичей».

В качестве меры, которая могла бы повысить защищенность пользователей Android от злоупотребления возможностями программной платформы, Арнц предложил уведомлять о входе в Google Play с чужого аккаунта не только владельца этого аккаунта, но и того, кому принадлежит это устройство.

Для операционной системой Android доступны десятки приложений класса stalkerware, позволяющие следить за близкими людьми и контролировать их общение. Однако, как ранее писал CNews, в большей части таких приложений есть уязвимости, угрожающие приватности самим пользователям.

Дмитрий Степанов

Короткая ссылка