Какой мессенджер на Android запрашивает минимум разрешений?
Мессенджеры обрабатывают конфиденциальные переписки, контакты и медиафайлы, а их поведение на устройстве различается, что влияет на приватность. Анализ Android-версий Messenger, Signal и Telegram показывает, что различия в разрешениях, фоновой активности и взаимодействии с системой определяют, к каким данным может получить доступ каждое приложение и как часто оно обменивается информацией.
Разрешения определяют доступ к данным устройства и пользователя
Три приложения используют разные подходы. У Telegram наименьшее общее количество разрешений — 71, хотя среди них самое высокое число опасных разрешений — 25. Signal имеет 72 разрешения, включая 19 опасных.
«Messenger, напротив, запрашивает больше всего (87) разрешений в общей сложности, из которых 24 являются опасными, и дополнительно выделяется запросом наибольшего количества специфичных для производителя «неизвестных» разрешений», — отметили исследователи.
Эти неизвестные разрешения не являются частью стандартной системы Android и обычно используются либо для связи между компонентами приложения, либо для взаимодействия со службами конкретного производителя.
Основные функции обмена сообщениями зависят от чувствительных разрешений
Доступ к конфиденциальным ресурсам, таким как контакты, камера, микрофон, местоположение, хранилище и календарь, является частью того, как мессенджеры обеспечивают свои ключевые возможности.
Разрешения для контактов поддерживают интеграцию с адресной книгой, доступ к хранилищу позволяет обмениваться медиафайлами, а доступ к камере, микрофону и местоположению используется для голосовых сообщений, видеозвонков и обмена геопозицией в реальном времени.
Telegram и Messenger расширяют этот доступ за счёт системных разрешений, таких как CALL_PHONE (ЗВОНКИ), SYSTEM_ALERT_WINDOW (ОКНА_ОПОВЕЩЕНИЙ_СИСТЕМЫ) и управление учётными записями, которые поддерживают функции вроде звонков внутри приложения и интерфейсов поверх других окон.
Signal придерживается более ограниченного подхода, исключая управление телефонными вызовами, всплывающие окна, определение местоположения в фоне, доступ к календарю и права на установку пакетов.
Различия в конфигурации и работе с сетью
Статический анализ с использованием Mobile Security Framework (MobSF) — инструмента для сканирования мобильных приложений на предмет потенциальных проблем безопасности — показывает, как настроены эти приложения и где могут возникать уязвимости.
Все три попадают в один и тот же диапазон «среднего риска», что означает наличие ряда проблем, которые могут иметь значение в зависимости от способа использования приложений. Messenger выделяется значительно большим количеством обнаруженных проблем по сравнению с другими, особенно в диапазоне средней степени серьёзности.
Одно из различий проявляется в обработке сетевого трафика. Telegram по умолчанию разрешает незашифрованные соединения через настройку usesCleartextTraffic, что оставляет его трафик открытым для перехвата. Signal использует зашифрованные соединения по умолчанию и разрешает ограниченный незашифрованный трафик только для проверки сертификатов.
Результаты анализа Messenger более разнообразны. Они включают в себя файлы с глобальной записью и WebViews с включенной удаленной отладкой, что может позволить подмену или инспекцию данных во время выполнения. Предупреждение, связанное с сертификатами, было изучено более тщательно и оказалось ложным срабатыванием, поскольку Messenger использует собственную реализацию TLS со встроенной проверкой сертификатов.
Приложения также различаются по степени зависимости от внешних сервисов. Messenger включает сторонние SDK, такие как Google Analytics и Mapbox. Signal и Telegram не заявляют об использовании сторонних трекеров. Все три используют Firebase Cloud Messaging для доставки уведомлений, и анализ не выявил утечки конфиденциальных данных через этот канал.
Куда направляются данные
Большая часть трафика Messenger обменивается с Северной Америкой, с дополнительными подключениями в Южной Америке и Европе.
Трафик Telegram сконцентрирован в Европе, с меньшими объемами в США, Азии и Океании. Трафик Signal также сосредоточен в Европе, с дополнительными подключениями в США и Азии.