Ошибка в коде популярной мобильной операционной системы Android позволяет почти любому приложению осуществлять доступ к фотографиям пользователя и загружать их на удаленный сервер, сообщает газета The New York Times со ссылкой на экспертов по информационной безопасности, пишет digit.ru.

В компании Google, разрабатывающей Android, по запросу газеты также признали наличие уязвимости. Как рассказал представитель компании, возможность неограниченного доступа приложений к фотографиям обусловлена тем, как программы взаимодействовали с пользовательским контентом в ранних устройствах на Android.

Так как чаще всего фотографии сохранялись на сменной карте памяти, внедрять систему запроса приложением разрешения на доступ к фотографиям было практически бессмысленно, поскольку пользователь мог разрешить программе осуществлять доступ к фотографиям на одной карте памяти, но потом заменить ее на другую. Если на новой карте памяти хранились фотографии, которые пользователь решил сохранить в тайне, то ему бы пришлось устанавливать приложение заново, чтобы запретить программе доступ к фотографиям – в Android разрешения на доступ к различным функциям смартфона пользователь должен дать до установки приложения.

Ранее на этой неделе похожая уязвимость была обнаружена в системе iOS, на которой работают устройства от Apple – смартфон iPhone и iPad. Однако в случае с iOS для того, чтобы уязвимость сработала, от пользователя требовалось дать приложению разрешение на доступ к геолокационным данным, хранящимся в телефоне. В случае с уязвимостью для Android не нужно и этого.

Обнаруженная ранее уязвимость в iOS работала следующим образом: запущенное впервые после установки iOS-приложение с геолокационными функциями, как правило, запрашивает разрешение на доступ к информации о местоположении пользователя. Если пользователь дает такое разрешение, то приложение получает доступ к геолокационным меткам, сопровождающим фотографии и видеоролики. В результате приложение получает доступ к библиотеке фотографий устройства без какого-либо дополнительного уведомления.

Компания Apple не прокомментировала информацию NYT. Как правило, компания строго относится к качеству приложений в App Store и проверяет каждое из них до того, как его увидит пользователь. По словам разработчиков, многие из них знали об уязвимости, однако предполагали, что Apple не допускает в App Store приложения, эксплуатирующие ее. Есть ли в App Store утвержденные Apple программы, которые могут использовать эту уязвимость, пока неизвестно.