Video: AMONG US - Bad Timing (Octombrie 2024)
Renunțăm la destulă securitate și confidențialitate atunci când descărcăm aplicații din App Store și Google Play. Rareori ne oprim să cercetăm ce fac aplicațiile pe dispozitivele noastre și cu datele noastre și uităm că dezvoltatorii nu au prioritate asupra confidențialității utilizatorilor atunci când construiesc aplicația.
"Lucrul care nu cred că oamenii își dau seama că nu suntem clientul pentru aceste aplicații gratuite. Reclamatorii sunt", a declarat pentru Security Watch Michael Sutton, vicepreședintele Zscaler al cercetării în domeniul securității.
Dezvoltatorii se gândesc la ce doresc agenții de publicitate atunci când construiesc aceste aplicații, și aceasta este informații despre utilizatori și capacitatea de a urmări activitatea utilizatorilor, a spus Sutton. Așadar, când vine vorba de permisiuni pentru aplicații, nu este nimic care să împiedice dezvoltatorii să ceară mai mult decât au nevoie. Majoritatea oamenilor nu citesc lista de permisiuni înainte de a le accepta pe toate pentru a instala aplicația, iar oamenii, în general, nu se plâng dacă aplicația pare să ceară prea multe. Există cazuri în care dezvoltatorii cer permisiuni indiferent dacă au nevoie de ele.
De fapt, nu există „dezincentiv pentru ei să nu o facă, mai ales pe partea Android a casei”, a spus Sutton.
Descoperiri de cercetare ZScaler
Cercetătorii de la Zscaler ThreatLabz au analizat 550 de aplicații iOS și 75.000 de aplicații Android pentru a înțelege modul în care cele două sisteme de operare mobile abordează confidențialitatea și securitatea. În analiza sa statică, echipa a căutat instanțe reale în cod în care au fost apelate funcții care necesită niveluri specifice de acces. Astfel, ei puteau verifica dacă funcția folosea de fapt permisiunea pe care o solicita.
Descoperirile sunt destul de aprofundate și fascinante, cum ar fi faptul că peste 60 la sută din aplicațiile iOS din categoria „Joc și Divertisment” solicită permisiunea funcțiilor de telefonie și a geo-locației. Zscaler a numit această constatare „tulburătoare”, menționând că au existat rapoarte recente despre aplicații care spionează activitatea utilizatorului. Acest număr este mai mare pentru aplicațiile de stil de viață, cu 81 la sută solicită funcționalitate. În general, 34 la sută dintre aplicațiile iOS au solicitat permisiunea de a accesa agenda, 83 la sută au solicitat acces la e-mail și 46 la sută au putut citi calendarul utilizatorului.
„Cu 97 la sută de aplicații care utilizează cel puțin una dintre funcționalitățile urmărite (agenda de adrese, telefonie, locație, calendarul de e-mail sau UUID), după cum s-a afirmat, suntem consumați la fel de mult, dacă nu mai mult, decât consumăm”, a scris Zscaler pe blog-ul.
În ceea ce privește Android, Zscaler a constatat că 68% dintre aplicațiile care solicită permisiunile SMS cer abilitatea de a trimite mesaje SMS. Este ceva de care să vă faceți griji, având în vedere popularitatea fraudei prin SMS și a utilizatorilor care trimit mesaje spam la trimiterea de mesaje la numere premium. O altă procentă de 28 la sută dintre aplicațiile cu permisiuni SMS solicită, de asemenea, posibilitatea de a citi mesaje SMS. Acesta este, de asemenea, un alt domeniu de îngrijorare atunci când aveți în vedere numărul de site-uri bancare mobile și alte servicii care trimit coduri prin SMS pentru autentificarea cu doi factori sau pentru a confirma tranzacțiile specifice. "Aceasta este o permisiune foarte riscantă pentru a acorda o aplicație", a spus Sutton, menționând că Apple nici măcar nu acordă această permisiune.
Lucrul bun este că, în acest moment, mai puțin de 10 la sută dintre aplicații cer în prezent permisiunile SMS. Dar inca.
Dintre aplicațiile pentru Android analizate, Zscaler a constatat că 36% au solicitat informații despre locație și 46 la sută au solicitat permisiunea de stare a telefonului, ceea ce permite aplicațiilor să acceseze informațiile cartelei SIM și identificatorul IMEI unic al telefonului.
"Este un echilibru delicat între ceea ce suntem dispuși să renunțăm în schimbul unei cereri gratuite", a spus Sutton.
Android expune utilizatorii la mai multe riscuri
Cea mai mare problemă, în ceea ce privește Sutton, a fost faptul că Android nu le-a oferit utilizatorilor niciun control asupra permisiunilor pe care aplicațiile le-ar putea avea. "Nu sunt un fan al modelului all-or-none în Android", a spus Sutton, numindu-l "periculos".
Este puțin trist, deoarece Android merge mai departe decât iOS, oferind dezvoltatorilor un nivel de control foarte granular. Cu toate acestea, acest nivel de control nu este transmis aplicației în sine, deoarece, dacă utilizatorul nu-i place o permisiune specifică pe care o solicită aplicația, atunci utilizatorul nu poate instala aplicația. Pe de altă parte, Apple instalează aplicația iOS, iar atunci când este necesară o funcționalitate specifică, solicită utilizatorului permisiunea.
"Acesta este un lucru pe care Apple îl face mai bine", a spus Sutton. El a spus că „abordarea superioară” a permisiunilor sub modelul iOS face un loc de muncă mai bun protejând consumatorii.
Apple a luptat, de asemenea, pentru a împiedica dezvoltatorii să urmărească dispozitivele, a spus Sutton. Dezvoltatorii au primit inițial o interogare UDID unică a dispozitivului, pe care agenții de publicitate ar putea să o folosească pentru a construi profiluri și să înțeleagă ce fel de aplicații foloseau utilizatorii. Chiar dacă Apple a interzis utilizarea UDID, Zscaler a constatat că 38% din aplicațiile iOS din analiza sa aveau încă acces. De asemenea, Apple a interzis dezvoltatorilor să urmărească adresele MAC. UUID este abordarea preferată, deoarece este o valoare unică generată pentru fiecare aplicație și dispozitiv, împiedicând agenții de publicitate să urmărească utilizatorii pe aplicații.
Apple a „luptat într-adevăr o bătălie pentru a împiedica dezvoltatorii să urmărească dispozitivele”, a spus Sutton. "Google nu a făcut nimic pe acest tărâm."
