Η Google αφαίρεσε μια από τις Top 20 πιο δημοφιλείς εφαρμογές του Android από το Play Store μετά από μια έρευνα από την Pentest, μια εταιρεία κυβερνο-ασφάλειας με έδρα το Ηνωμένο Βασίλειο. Η εν λόγω εταιρεία ανακάλυψε ότι μια keyboard εφαρμογή παραβίαζε τις πολιτικές της Google, δείχνοντας μια παραπλανητική συμπεριφορά.
Οι μηχανικοί της Pentest διαπίστωσαν ότι η εφαρμογή ζητούσε περισσότερα δικαιώματα από αυτά που του ήταν αναγκαία. Ζητούσε για προνόμια διαχειριστή προκειμένου να γίνεται πιο δύσκολη η απεγκατάσταση, πραγματοποιούσε hijack στην οθόνη του χρήστη για την εμφάνιση διαφημίσεων και έκανε συλλογή και μετέφερε πληροφορίες χρηστών σε τρίτους χωρίς την άδεια του χρήστη .
Το όνομα της εφαρμογής είναι Flash Keyboard και πριν από την Pentest έκθεση, κατείχε την 11η θέση στις πιο δημοφιλείς εφαρμογές του Android της Google, με πάνω από 50 εκατομμύρια λήψεις. Όπως προδιαθέτει και το όνομά του, το app είναι η αντικατάσταση του Android πληκτρολογίου (stock keyboard), που αναπτύχθηκε από την DOTC United.
Η Pentest βρήκε υπερβολικό ότι η εφαρμογή απαιτούσε πρόσβαση στη Bluetooth σύνδεση ενός τηλεφώνου, στη δυνατότητα γεωγραφικού εντοπισμού ή στην κατάσταση WiFi.
Επιπλέον, η εφαρμογή ζητούσε πρόσβαση για να μπορεί να τερματίζει διεργασίες του παρασκηνίου, να διαβάζει μηνύματα SMS, να δείχνει system overlays ή να αφαιρεί τις ειδοποιήσεις λήψης. Η Pentest λέει ότι δεν υπάρχουν λόγοι για ένα keyboard app να απαιτεί αυτά τα παρεμβατικά δικαιώματα.
Επιπλέον, η Pentest ανακάλυψε ότι το Flash keyboard ζητούσε δικαιώματα διαχείρισης της συσκευής και τα χρησιμοποιούσε για να εμφανίζει διαφημίσεις και πάνω από μια κλειδωμένη οθόνη.
Η Pentest ανέλυσε, επίσης, μια ροή δεδομένων που προέρχονται από την εφαρμογή και λέει ότι το Flash keyboard συνέλεγε πληροφορίες για τον χρήστη και τις έστελνε σε απομακρυσμένους διακομιστές στις ΗΠΑ, στην Ολλανδία και στην Κίνα.
Μερικά από τα δεδομένα που η εφαρμογή συνέλεγε και έστελνε στις υπηρεσίες αυτές περιελάμβανε λεπτομέρειες όπως τον κατασκευαστή της συσκευής, τον αριθμό μοντέλου της συσκευής, την έκδοση του Android, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τα SSID, MAC, IMEI, το δίκτυο κινητής τηλεφωνίας, τις GPS συντεταγμένες, τις πληροφορίες σχετικά με κοντινές Bluetooth συσκευές και την παρουσία των τυχόν proxies.
H Pentest πιστεύει ότι η εφαρμογή παραβιάζει την πολιτική για παραπλανητική συμπεριφορά της Google για τους ακόλουθους λόγους:
- “Μιμείται τη λειτουργία του λειτουργικού συστήματος με την αντικατάσταση της ενσωματωμένης οθόνης κλειδώματος με τη δική του. “
- “Δεν ενημερώνει ότι αντικαθιστά το κλείδωμα της οθόνης για να εμφανίζονται διαφημίσεις.”
- “Επιτρέπει ενημερώσεις εφαρμογών και αποκρύπτει σκόπιμα ειδοποιήσεις του λειτουργικού συστήματος που ειδοποιούν τον χρήστη να πραγματοποιήσει ενημερώσεις. “
- “Στέλνει προσωπικές πληροφορίες σε τρίτες πηγές, χωρίς να το γνωρίζει ο χρήστης. “
- “Καθιστά δύσκολο για το μέσο χρήστη να την απεγκαταστήσει.”
Μετά την έκθεση της Pentest, η Google αφαίρεσε την εφαρμογή. Λίγο αργότερα, ο κατασκευαστής του έργου δημιούργησε και υπέβαλλε στο Play Store μια εφαρμογή που ονομάζεται Flash Keyboard – Lite. Κατά τη στιγμή της γραφής, το Flash Keyboard είναι και πάλι διαθέσιμο μέσω του Play Store της Google.
