Klávesnice Flash Keyboard špehuje své uživatele

Odborníci ze společnosti Pentest Limited našli v populární alternativní klávesnici pro Android funkce určené ke špehování uživatelů. Jedná se o klávesnici Flash Keyboard, kterou si nainstalovalo více než padesát milionů uživatelů, kteří tak dali všanc své osobní údaje. Hlavním tahákem této klaviatury byly samolepky a emotikony, díky kterým se vyšplhala až na 11. místo v žebříčku popularity v Obchodě Play. „Špionážní“ funkce však podle všeho aplikace získala až později.

Flash Keyboard a podobnost s malwarem

Při instalaci aplikace Flash Keyboard žádá o povolení k získávání informací o zeměpisné poloze, stahování souborů bez výzvy uživateli, zachytávání fotografií a videí. Po instalaci dostane možnost získat informace o uživateli a stavu smartphonu nebo tabletu, používat Bluetooth, zastavit procesy na pozadí (např. antivirové programy), měnit některá nastavení a tak dále. Říkáte si, nač by klávesnice potřebovala taková oprávnění? Jednoduše proto, že jí je většina uživatelů bez zaváhání odsouhlasí. Kromě toho klame uživatele, shromažďuje osobní údaje a brání se odinstalaci. Odborníci tvrdí, že aplikace odesílá následující informace:

• IMEI telefonu nebo tabletu
• výrobce zařízení
• verze systému Android
• e-mailová adresa účtu Google
• nastavení proxy
• GPS souřadnice aktuální polohy
• názvy a MAC adresy Wi-Fi sítí v blízkosti
• seznam dostupných zařízení Bluetooth

Data jsou odesílána na servery v Číně, Spojených státech amerických a Nizozemí. Odborníci ve své zprávě zdůrazňují, že nové funkce shromažďují informace o uživateli s pravděpodobným cílem finančního zisku z prodeje těchto dat. I když tyto služby nemusí představovat bezprostřední ohrožení soukromí uživatelů, panují obavy, že nadměrná oprávnění a sběr dat mohly být snadno zneužity k nefér praktikám.

Dělají si vývojáři legraci z uživatelů?

Klávesnice Flash Keyboard na nějaký čas zmizela z Obchodu Play, záhy se však vrátila a vývojáři v popisku uživatelům doporučují, aby ignorovali výstrahy zabezpečení. „Varovná zpráva, že Flash Keyboard může shromažďovat veškerý text, který napíšete, včetně osobních údajů, jako jsou hesla a čísla kreditních karet, je součástí operačního systému Android. Zobrazuje se při instalaci jakékoli klávesnice třetí strany. Používejte Flash Keyboard bez obav :D“ najdete v popisku aplikace včetně vysmátého smajlíku na konci.

Dlouhý seznam požadovaných oprávnění

Přestože má tato klávesnice průměrné hodnocení známkou 4,3 z 5,0 možných, její seznam požadovaných oprávnění je skutečně nestandardně dlouhý. Verze 1.0.58 má přístup k těmto oprávněním:

• Historie zařízení a aplikací: čtení citlivých dat v protokolech a načtení spuštěných aplikací.
• Identita: vyhledávání účtů v zařízení, čtení vaší vlastní vizitky
• Kontakty: vyhledávání účtů v zařízení, čtení kontaktů
• Poloha: přesná poloha (pomocí GPS a sítě), přibližná poloha (pomocí sítě)
• SMS: čtení textových zpráv (SMS nebo MMS)
• Telefon: čtení stavu a identity telefonu a přesměrování odchozích hovorů
• Fotky/média/soubory: úprava nebo mazání obsahu v úložišti USB a čtení obsahu v úložišti USB
• Úložiště: úprava nebo mazání obsahu v úložišti USB a čtení obsahu v úložišti USB
• Fotoaparát: pořizování fotografií a videí
• Informace o připojení Wi-Fi: zobrazení připojení Wi-Fi
• ID zařízení a informace o hovorech: čtení stavu a identity telefonu
• Jiné: stahování souborů bez oznámení, čtení nastavení a odkazů plochy, zápis nastavení a odkazů plochy, čtení nastavení a odkazů plochy, zápis nastavení a odkazů plochy, vynucení zastavení jiných aplikací, spuštění při startu, aktualizovat statistiku použití součástí, úplný přístup k síti, zobrazování síťových připojení, čtení výrazů přidaných do slovníku, spuštění při startu, ovládání vibrací, přidávání slov do slovníku definovaného uživatelem, vykreslení přes další aplikace, změna nastavení systému, instalace zástupce, odinstalovat zástupce, připojení k síti Wi-Fi a odpojení od sítě Wi-Fi, zavření ostatních aplikací, Kontrola licence ve službě Google Play, vypnutí zámku obrazovky, odeslání trvalého vysílání, změna připojení k síti, párování se zařízeními Bluetooth, přístup do nastavení Bluetooth, čtení statistických údajů o baterii, zabránění přechodu zařízení do režimu spánku

V praxi tedy vidíte, jak důležité je číst a přemýšlet nad oprávněními, které aplikace vyžadují ke své činnosti. Zdroje: hi-tech.mail.ru, pentest.co.uk, theregister.co.uk.