Google on loonud Androidile spetsiaalse lubade süsteemi, mille eesmärk on anda inimestele kontroll selle üle, milline rakendus telefonist millist infot saab. Nüüd aga selgub, et mitmed rakendused ei pea selliseid lubasid millekski ning teevad tegelikult telefonis täpselt seda, mida nad ise tahavad.

Kokku leidsid teadlased 1325 sellist rakendust. Uurimisrühma juhi Serge Egelmanni sõnul on küll loodud süsteem rakendustekontrolli alla saamiseks, kuid tegelikkuses see ei tööta. "Kui arendajad saavad süsteemist lihtsalt kõrvale hiilida, on kasutajatelt lubade küsimine mõttetu," ütles ta.

Teadlased uurisid kokku 88 000 Google'i rakendustepoe rakendust ning jälgisid eriti teraselt seda, kuidas toimus andmevahetus seadme ja rakenduse vahel siis, kui kasutaja äpile ligipääse ei andnud. 1325 rakendust, mis luba küsimata infot hankisid tegid seda läbi teiste meetodite, näiteks kasutasid Wi-Fi võrkudelt saadavat infot ning otsisid andmeid fotode külge jäävast metainfost ehk sellisest teabest, mida tavakasutaja tingimata ei näe, kuid mis siiski võib viidata näiteks asukohaandmetele.

Nii tegi näiteks fototöötlusrakendus Shutterfly, mille esindaja küll rõhutas, et ettevõte ei kasuta mingeid muid infokogumismooduseid, kuid mis katsete kohaselt kogus just asukohaandmeid metaandmete abiga. Kuid oli ka rakendusi, mis uurisid SD-kaartidel olevaid faile ja andmeid ning tegid seda ilma loata, kasutades selleks ligipääsu seadme IMEI-koodile.

Niimoodi olid SD-kaartidelt infot otsima võimelised 153 rakendust, kuid seda tegid vaid 13.Üheks selliseks oli näiteks Baidu loodud Hong Kongi Disneylandi rakendus. See võimekus oli aga ka mitmel palju laialdasemalt tuntud rakendusel, näiteks Samsungi Health ja Browser rakendustel.

Egelmani sõnul andsid nad oma leiust teada ka Google'ile ning seda juba eelmise aasta septembrikuus. Google lubas, et probleemid saavad lahenduse Android Q uuendusega, mis uuemate telefonidega kasutajateni suure tõenäosusega selle aasta jooksul.

Egelman lubas uuringu kohta rohkem infot jagada augustikuus Usenixi küberturbekonverentsil, sealhulgas avaldab ta kõikide ebaausalt andmeid varastavate rakenduste nimekirja.