Androidissa on nykyään mahdollista määritellä, mitä tietoja sovellukset saavat kerätä ja jakaa. Totuus on kuitenkin toinen. Tutkimus paljasti, että tuhannet sovellukset keräävät käyttäjästä dataa, vaikka se olisi eksplisiittisesti kielletty.
Calgaryn, Madridin ja Berkeleyn yliopistojen tutkijat tekivät laajan tutkimuksen siitä, miten Android-sovellukset käyttävät käyttöjärjestelmän lupajärjestelmää. Tuokset julkistettiin Usenix-tietoturvasymposiumin sivuilla.
Kaikkiaan tutkijat imuroivat yli 250 tuhatta sovellusversiota kaikkiaan 88 113 eri Android-sovelluksesta. Niitä ajettiin suljetussa ympäristössä, jossa voitiin monitoroida kaikki sovelluksen I/O-tapahtumat ja sen generoima verkkoliikenne.
Tulosten mukaan sovellukset selvittivät laitteen MAC-osoitteen, IMEI-numeron ja paljon muuta dataa, vaikka käyttäjä olisi estänyt pääsyn niihin. Tutkijoiden mukaan tämä johtui siitä sovelluskehyksestä, jossa sovellus toimi.
Esimerkiksi kiinalaisen Baidun karttasovellusten ympäristöä (Maps SDK) käytetään 2,6 miljardissa asennetussa sovelluksessa. Tutkijat voivat ainoastaan päätellä, että sääntöjä rikkovien sovellusten määrä on selvsäti tätä suurempi.
Tutkijat ovat informoineet Googlea ongelmista ja tiettävästi monet niistä on korjattu uusimmassa Android 10 -käyttöjärjestelmässä. Android-alustan hajaannus tosin tarkoittaa, ettei 10-versio ole vielä kovinkaan monessa laitteessa.