Спецпроекты

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника

Найден способ слежки за любым пользователем Android. Стороннее ПО и навыки хакера не требуются

Ошибка в сервисах Google позволяет отслеживать передвижение пользователей операционной системы Android. Как выяснил специалист Malwarebytes, для того, чтобы «шпионить» за близким человек, злоумышленнику не нужны специальные знания, устанавливать специальное ПО класса stalkerware также не потребуется.

«Шпионаж» силами Android

Компания Malwarebytes, специализирующаяся на кибербезопасности, обнаружила способ отслеживания перемещений владельцев смартфонов с операционной системой Android. Он хоть и требует физического доступа к гаджету жертвы, но не предполагает установки какого-либо стороннего программного обеспечения. «Шпионить» за пользователем позволяют сервисы Google, присутствующие на большинстве современных Android-устройств.

Уязвимость, которую с легкостью можно принять за особенность, совершенно случайно выявил исследователь в области информационной безопасности Питер Арнц (Pieter Arntz), когда помогал своей жене установить платное приложение на ее смартфон. Для того, чтобы оплатить покупку, он вошел в собственный аккаунт Google на ее мобильном телефоне. Убедившись в том, что после установки приложение работает корректно, он вернул устройство супруге, забыв при этом выйти из учетной записи.

Позднее, просматривая раздел «Хронология» (Timeline) в приложении «Карты Google» (Google Maps) уже на своем девайсе, Арнц заметил странное: в истории его перемещений за день были отмечены места, которые он не посещал, хотя и проходил неподалеку. Специалист тогда решил, что дело в неточности определения местоположения со стороны Google, однако свои наблюдения не прекратил.

apk600.jpg
Ошибка в сервисах Google позволяет шпионить за пользователями Android

Спустя несколько дней он вновь обратился к «Хронологии», и на этот раз результат оказался еще более необычным: в числе посещенных мест были и такие, по соседству с которыми Арнц вообще не появлялся, зато их посещала его жена. Тут-то на Арнца и снизошло озарение: сервис Google выдает историю передвижения как его собственную, так и его благоверной.

Незаметная слежка

Меж тем супруга и не подозревала, что за ней следят. Во-первых, при первичной настройке телефона она запретила Google вести «Хронологию», во-вторых, единственным индикатором того, что история перемещений на данном устройстве отслеживается, был изменившийся аватар пользователя (небольшой кружок с фотографией в правом верхнем углу интерфейса «Карт Google»).

Как выяснилось, однократного вхождения в учетную запись с Android-смартфона для посещения магазина приложений Google Play достаточно, чтобы эта учетная запись «осела» на устройстве. Таким образом, просто выйти из чужой учетной записи, чтобы прекратить отслеживание не получится – нужно целенаправленно удалить чужой аккаунт в настройках Android.

Не баг, а фича

Питер Арнц сообщил Google об обнаруженной бреши, которая потенциально позволяет злоумышленникам «шпионить» за любым владельцем Android-смартфона, однако он опасается, что Google сочтет это «не багом, а фичей».

В качестве меры, которая могла бы повысить защищенность пользователей Android от злоупотребления возможностями программной платформы, Арнц предложил уведомлять о входе в Google Play с чужого аккаунта не только владельца этого аккаунта, но и того, кому принадлежит это устройство.

Для операционной системой Android доступны десятки приложений класса stalkerware, позволяющие следить за близкими людьми и контролировать их общение. Однако, как ранее писал CNews, в большей части таких приложений есть уязвимости, угрожающие приватности самим пользователям.

Дмитрий Степанов

Короткая ссылка