Команда исследователей проанализировала одну из функций операционной системы Android, которая может представлять угрозу для конфиденциальности пользователей. Согласно результатам исследования, множество популярных приложений для Android на сегодняшний день используют Installed Application Methods (IAM) — набор вызовов API Android, которые позволяют разработчикам приложений получать список приложений, установленных на устройстве.
Изначально данные вызовы позволяли разработчикам настраивать взаимодействие с другими программами. Но ученые рассказали, что IAM также используется для отслеживания и идентификации пользователей, создавая риски конфиденциальности.
Команда из четырех ученых проанализировала тысячи приложений для Android-устройств и их код на предмет AIM-вызовов. По данным исследовательской группы, использование IAM довольно распространено в коммерческих приложениях: 30,29% приложений в Play Store осуществляют IAM-вызовы в своем коде. Для приложений с открытым исходным кодом это число составило всего 2,89%.
Опасность для конфиденциальности пользователей связана с тем, что рекламодатель может определить интересы и личные качества (сведения о поле, известных языках, религиозных убеждениях и возрасте) путем анализа списка установленных приложений пользователя. Кроме того, пользователи не могут защитить себя от отслеживания цифрового отпечатка браузера на основе IAM, поскольку приложению не нужно запрашивать разрешение у пользователя для осуществления данных вызовов. Кроме того, многие вызовы IAM также выполняются без ведома разработчика приложения.
Исследовательская группа призывает Google ограничить использование IAM-вызовов. По мнению специалистов, Google необходимо установить запросы разрешения на выполнение данных вызовов.