Studie španělských univerzit a projektu IMDEA odhalila, že tisíce aplikací pro Android skrytě sledují a profilují uživatele telefonů s Androidem, a to pomocí Bluetooth a Wi-Fi. Děje se tak bez výslovného souhlasu uživatelů a bez aktivní komunikace přes Bluetooth či připojení k Wi-Fi síti.
Výzkumníci zjistili, že 86 % z testovaných 9 976 aplikací (celkem 55 miliard instalací) sbírá alespoň jeden typ dat, který je považován za citlivý. Konkrétně se jedná o detaily skenování blízkých Wi-Fi sítí, Bluetooth zařízení, aktuální GPS poloha, apod.
Z polohy Bluetooth majáků a SSID dostupných Wi-Fi sítí mohou aplikace zjistit relativně přesnou oblast, kde se nacházíte. A to i bez přístupu GPS. Toto sledování aplikacemi přitom probíhá bez našeho vědomí a souhlasu
Toto nestandardní chování je součástí sad pro vývoj softwaru (tzv. SDK – Software Development Kit), které integrují vývojáři do svých aplikací. Právě tato SDK mohou tiše shromažďovat a odesílat data společnostem třetích stran, popř. je dokonce prodávat různým subjektům. U některých SDK dochází i k využívání zranitelností Androidu k obcházení oprávnění Bluetooth a Wi-Fi.
Problematické Wi-Fi a Bluetooth
Android sice za poslední dobu vylepšil ochranu osobních údajů, které omezují třeba přímý přístup k aktuálním souřadnicím, aplikace však stále odvozují polohu uživatelů podle přístupových bodů Wi-Fi a tzv. Bluetooth majáků (anglicky BLE beacon). Právě tyto prvky jsou vázány na fyzická místa, jakými jsou letiště, obchody a nákupní centra. Alarmující je také to, že 19 % zmiňovaných SDK využívá tzv. přemosťování ID, které propojuje trvalé a resetované identifikátory (např. reklamní ID Androidu a MAC adresy Wi-Fi), což slouží k dlouhodobému sledování uživatelů. Nejčastěji používané služby navíc slučují svá data s dalšími reklamními a analytickými platformami. A riziko zneužití vzrůstá.
Autoři studie uvádějí, že takto získaná data pohánějí velký neregulovaný ekosystém s geolokačními daty, který mohou využít různé typy společností. Toto pasivní sledování uživatelů přitom výrazně narušuje jejich soukromí, protože potenciálně umožňuje třetím stranám zjistit soukromé informace – adresy domova a práce, návštěvu zdravotnických zařízení, apod.
Jak se bránit?
Základní obranou proti možnému neautorizovanému sdílení uživatelských dat je vypnutí skenování Bluetooth a Wi-Fi zařízení, když tyto komunikační technologie aktivně nepoužíváte. Konkrétně pokud jste mimo dosah domácí Wi-Fi nebo aktuálně nemáte na rukou chytré hodinky a v uších sluchátka. Dále se doporučuje pravidelně kontrolovat oprávnění aplikací přes Nastavení – Zabezpečení a soukromí – Použití oprávnění. Zejména oprávnění pro přístup k poloze, které řada aplikací pro své běžné fungování vůbec nepotřebuje.
SDK nástroje, které se běžně používají u Android aplikací. Jejich počet použití z celkového počtu 9 976 aplikací, celkový počet instalací těchto aplikací a zaměření na Bluetooth, Wi-Fi a zisk dat
Jednou za čas se hodí „zmást" reklamy resetováním reklamního ID, který je spojený s vašimi uživatelskými návyky a zájmy, na základě kterých vám systém poskytuje relevantní a cílené reklamy. Reset provedete přes Nastavení – Google – Reklamy – Resetovat inzertní ID. V neposlední řadě si pak v telefonu nenechávejte zbytečné aplikace, které vůbec nepoužíváte. Pokud ani nevíte, k čemu slouží, rovnou je z telefonu odinstalujte.