Telefonom klasy smartphone niejednokrotnie zarzucano naruszanie prywatności użytkowników, ale dopiero niedawno sprawdzono jak wygląda ochrona prywatności w publikowanych aplikacjach. Zagrożenie jest dość poważne, ponieważ nie ma możliwości technicznych, by użytkownicy sprawdzili, czy aplikacja wykonuje dokładnie to, co napisano w jej opisie. Firma SMobile, dostawca rozwiązań bezpieczeństwa dla telefonów klasy smartphone, przeanalizowała ponad 48 tysięcy aplikacji opublikowanych w Android Market, by móc ocenić skalę tego problemu. Aplikacje dla platformy Android posiadają opisane uprawnienia, na przykład związane z inicjowaniem połączeń telefonicznych, odczytywaniem i wysyłaniem wiadomości SMS lub dostępem do modułu GPS, umożliwiającym ustalenie lokalizacji telefonu. System uprawnień wymaga, by aplikacja jeszcze przed instalacją podała, z jakich uprawnień będzie korzystać, dzięki czemu użytkownik będzie mógł podjąć decyzję o kontynuowaniu lub zaprzestaniu instalacji. Niestety, użytkownik nie może stwierdzić, do czego naprawdę są potrzebne aplikacji te uprawnienia.

Po sprawdzeniu uprawnień przyznawanych aplikacji badacze doszli do wniosku, że ponad 20% programów opublikowanych w Android Market daje dostęp stronom trzecim do prywatnych lub wrażliwych informacji, 5% umożliwia połączenia telefoniczne pod dowolnie wybrany numer, a 2% może wysyłać wiadomości SMS pod nieznany numer o podwyższonej opłacie, przy czym zestawienie wspomnianych połączeń i wiadomości odbywa się bez zgody i wiedzy użytkownika.

W dobrej wierze

Według firmy SMobile, znaczna większość badanych aplikacji była pisana w dobrej wierze, by dostarczyć dodatkowych funkcjonalności telefonom. Można się więc spodziewać, że dane, do których programy mają dostęp, raczej nie będą wykorzystane w niewłaściwy sposób. Niemniej dokładna analiza umożliwiła wykrycie aplikacji phishingowej kierowanej przeciw użytkownikom bankowości elektronicznej, a opublikowanej przez autora o nazwie Droid09. Aplikacja ta została usunięta ze sklepu Android Market, ale nie oznacza to końca zagrożenia.

Firma Google nie jest zadowolona z raportu i oświadczyła, że oprócz pytania użytkownika o zgodę na dostęp do określonych zasobów urządzenia przy każdej instalacji, przeprowadzana jest identyfikacja twórców oprogramowania, która umożliwia potwierdzenie prawdziwej tożsamości. Według rzecznika Google, firma zablokuje każdą aplikację, która okaże się złośliwym oprogramowaniem.