Бельгийский программист Арне Свиннен обнаружил в Android баг, который позволяет хакерам извлекать из установленных на устройство приложений достаточно данных для установления личности его владельца — например, его настоящее имя и номер телефона. Свиннен пишет, что проблема крылась в механизме хранения файлов и ей подвержены все версии Android, в том числе 7.0.


Приложения хранят файлы с личными данными пользователя в предсказуемых местах, например, в случае с Facebook это /data/data/com.facebook.katana/shared_prefs/XStorage-LATEST-<USERID>.xml. Здесь <USERID> — уникальный идентификатор пользователя в диапазоне от 0 до 2500000000. Подобрать этот номер, узнав точное имя файла можно брутфорсом, который занимает несколько дней — долго, но вполне реализуемо даже без физического доступа к устройству (например, с помощью постоянно запущенного трояна). Идентификатор пользователя может быть отправлен хакерам, а тем ничего не стоит вычислить владельца устройства — узнать его имя, номер телефона и прочую информацию, которую можно использовать для дальнейшего проведения атак.

Свиннен сообщил Google об этой уязвимости в конце 2015 года и получил вознаграждение в размере 500 долларов. Она была устранена в Android 7.0 одним из патчей безопасности, но осталась в более ранних версиях этой ОС.