אפליקציות אנדרואיד בחנות Play של גוגל הדליפו נתונים רגישים

חוקרי יחידה 42, צוות המחקר של פאלו אלטו, זיהו כמה יישומי אנדרואיד בחנות Play של גוגל (Google), שהדליפו נתונים. בין היתר, מדובר ביישומים Baidu Search Box ו-Baidu Maps, שיחד הורדו שישה מיליון פעמים בארצות הברית. הנתונים שדלפו אפשרו מעקב אחר המשתמשים, באופן פוטנציאלי לאורך כל חיי המכשירים הסלולריים שלהם.

דליפת נתונים מיישומים בטלפונים ניידים היא בעיה ידועה. ידוע כי חלק מאפליקציות אנדרואיד מדליפות נתונים ממכשיר המשתמש. נתונים שדולפים מפירים את פרטיות המשתמשים בלא ידיעתם ועלולים לשמש למתקפות נוספות של פושעי סייבר, כמו ניטור של מיקום הטלפון או אחזור מספרים של אנשי קשר. נתונים אלה עשויים להיות רגישים. נתונים המודלפים לעיתים קרובות על ידי יישומי אנדרואיד כוללים, בין היתר, את דגם הטלפון, רזולוציית המסך, כתובת ה-MAC של הטלפון, ספק התקשורת, סוג הרשת, מזהה אנדרואיד IMSI (זהות בינלאומית למנויים ניידים) ו-IMEI – זהות בינלאומית לציוד נייד.

בעוד שחלק מהמידע הזה, כמו רזולוציית המסך, אינו מזיק מדי, ניתן להשתמש בנתונים כמו ה-IMSI לזיהוי ולמעקב אחר המשתמש באופן ייחודי, גם אם אותו משתמש עובר לטלפון אחר ולוקח את המספר. IMSI מזהה באופן ייחודי מנוי לרשת סלולרית והוא משויך בדרך כלל לכרטיס ה-SIM של הטלפון, שניתן להעביר בין מכשירים. ניתן להשתמש בשני המזהים למעקב ולאיתור משתמשים ברשת סלולרית.

יישומי אנדרואיד שאוספים נתונים, כמו ה-IMSI, מסוגלים לעקוב אחר משתמשים לאורך החיים של כמה מכשירים. לדוגמה, אם משתמש מעביר את כרטיס הסים שלו לטלפון חדש ומתקין יישום שאסף בעבר והעביר את מספר ה-IMSI – מפתח האפליקציה מסוגל לזהות את המשתמש הזה באופן ייחודי. IMEI הוא מזהה ייחודי של המכשיר הפיזי, ומציין מידע, כגון תאריך הייצור ומפרט החומרה.

על פי החוקרים, "נתונים כמו IMSI או IMEI מבוקשים בקרב פושעי סייבר, שיכולים להשתמש בשיטות כגון "לוכדי IMSI" פעילים ופסיביים, כדי לשמור מידע ממשתמשי הטלפון הסלולרי. לאחר שלכדו את הנתונים, פושעי סייבר יכולים לגשת לפרופיל המשתמשים ולהפיק מידע רגיש עליהם. לדוגמה, אם עבריין סייבר תופס את מספר ה-IMEI של הטלפון, הם יכולים להשתמש בו כדי לדווח על הטלפון כגנוב, לגרום לספק להשבית את המכשיר ולחסום את הגישה שלו לרשת". עוד ציינו החוקרים, כי "נתונים אלה עלולים להיות מנוצלים לרעה גם על ידי פושעי סייבר, או גורמים מדינתיים, כדי לפגוע בפרטיות המשתמש ולנצל את המידע שהודלף כדי ליירט שיחות טלפון או הודעות טקסט. אם עברייני רשת או גורמי מדינה מיירטים הודעות המעבירות מידע בטקסט רגיל או עם הצפנה חלשה – הם מעמידים את המשתמשים בסיכון".

"אף שהדלפת נתונים שכזו לא נחשבת הפרה מוחלטת של מדיניות גוגל לגבי אפליקציות אנדרואיד, הרי שאיסוף קודים מזהים אינו מתקבל בברכה על פי המדיניות של אנדרואיד". חוקרי יחידה 42 הודיעה לבאידו ולצוות אנדרואיד של גוגל על הגילוי החדש זה. בגוגל אישרו את הממצאים ואף זיהו מקרים נוספים של הדלפות נתונים שלא הוגדרו, ובהתאם הם הסירו את היישומים מגוגל Play. למרות זאת, גירסה תואמת של Baidu Search Box זמינה כיום בחנות של גוגל ואפליקציית Baidu Maps נותרה לא זמינה.