Det var bara en månad sedan förinstallerade skadliga koder upptäcktes på Android-baserade Alcatel-mobiler och sådana säkerhetsbrister är för övrigt ingen ovanlig syn i Googles egna Play Store.
Nu har även en studie som analyserat förinstallerad Android-programvara upptäckt att många leverantörer som erbjuder sin egen version av operativsystemet med öppen källkod utnyttjar plattformen för att släppa produkter med integrerade datainsamlingstjänster.
Analysen genomfördes av IMDEA Networks Institute, Universidad Carlos II de Madrid, Stony Brooks University och ICSI, och täckte över 200 tillverkare, 1 700 enheter och 82 000 förinstallerade appar.
(OBS. Länkar i denna artikel kan vara skrivna på engelska).
Studien kom fram till slutsatsen att, oavsett om det är genom avsiktligt missbruk eller dåligt utförande, har företag som skapar sin egen Android-baserade firmware för mobiler en tendens att göra det möjligt för tredjeparter att komma åt användardata i programvaran och samtidigt dölja sådan aktivitet från användaren.
"Den här situationen har blivit en fara för användarnas integritet och säkerhet," hävdar studien, "på grund av missbruk av privilegier, som i fallet med förinstallerade skadliga koder, eller som ett resultat av dålig programvarupraktik som introducerar sårbarheter och farliga bakvägar."
Analysen kom fram till att det inte enbart var mobiltillverkare som var ansvariga för sådana överträdelser, utan en "myriad av aktörer" som sträckte sig från programvarutillverkare till annonsörer och att dessa parter potentiellt inlett hemliga samarbeten.
"Användarnas aktiviteter, personuppgifter och vanor kan ständigt övervakas av aktörer som många användare aldrig ens hört talas om eller gett sin tillåtelse att samla in data om dem", konstaterar studien.
- Säkerhetsbrister som hittats i gratis VPN Android-appar
- Förinstallerade skadliga koder upptäckta på Alcatel-mobiler
När det kommer till eventuella lösningar på den bristande öppenhet som dessa forskare upptäckte, föreslog de införandet av ett objektivt "globalt betrott" tillsynsorgan som skulle underteckna programcertifikat, istället för leverantörerna själva, samt en tydlig och offentlig dokumentation över förinstallerade appar, deras syfte och vilken enhet som ansvarar för dem.
Google gav TechCrunch ett svar gällande frågan och hävdade att rapportens metodik "inte kan skilja på förinstallerad programvara från skadliga koder som fått åtkomst till enheten vid en senare tidpunkt", samt att företaget har ett nära samarbete med och förser sina samarbetspartner med verktyg för att hjälpa till att skydda mot programvara som bryter mot deras policy.
