Один из специалистов Malwarebytes выяснил, что для отслеживания пользователей Android достаточно воспользоваться ошибками в сервисах Google. Так можно «шпионить» за друзьями или близкими людьми. Не потребуются специальные знания, как и установка дополнительного программного обеспечения.
Что произошло
Компания Malwarebytes известна по своим продуктам и исследованиям в области цифровой безопасности. Специалистам удалось выявить способ отслеживания пользователей смартфонов под управлением Android. Для осуществления задачи потребуется физический доступ к устройству человека, но при этом не нужно устанавливать стороннее ПО. В шпионаже помогают сервисы Google, которые есть на каждом Android устройстве.
Эту особенность выявил специалист по имени Питер Арнц. Причем сделал это совершенно случайно: он помогал жене установить на смартфон одно платное приложение. Для совершения покупки он зашел в свою учетную запись в Google, но не на своем устройстве, на девайсе жены. Дальше он установил программу, убедился в том, что она исправно работает, и вернул смартфон супруге. При этом забыв выйти из своей учетной записи.
Спустя время Питер решил просмотреть «Хронологию» в картах от поисковой системы на своем устройстве. Здесь и была замечена одна странность: на карте были отмечены места, которые Арнц точно не посещал, но проходил рядом. Первая мысль – неточность определения координат системой, но сомнения оставались, поэтому в этом вопросе специалист решил разобраться деталей. Через несколько дней он вновь зашел в хронологию, и увидел на карте отмеченные места, которые точно не посещал, на которые точно посещала его супруга. Здесь и стало понятно, что система фиксирует не только его передвижения, но и жены.
Как проходила слежка
Жена даже не подозревало об открытии мужа, так как он хранил молчание. Еще при первой настройке смартфона она запретила хронологии вести запись о перемещениях, к тому же одним индикатором фиксации перемещения был изменившийся аватар пользователя. Всего одного вхождения в профиль с Android-смартфона для посещения Google Play достаточно, чтобы профиль «закрепился» за устройством. Просто выйти из чужой учетной записи, чтобы прекратить отслеживание не получится. Единственным способом решения станет только непосредственное удаление чужого аккаунта в настройках Android.
«Фишка»
Как стало известно, в дальнейшем Арнц отправил сообщение представителям Google, в деталях описав свое открытие. Но у него закрались сомнения относительно признания компанией «бага». Он полагает, что вероятней всего эту способность в компании сочтут за «фишку». Как меру увеличения защищенности владельцев устройств на Android от злоупотребления возможностями программного обеспечения специалист предложил уведомлять о входе в Google Play с чужого аккаунта не только пользователя, которому эта учетная запись принадлежит, но и того, кому принадлежит девайс.
Для Android доступны различные программы из класса stalkerware, посредством которых не составит труда «шпионить» за близкими и контролировать их общение. Но в большинстве случаев такие программы несут уязвимость и угрожают приватности пользователям.