Video: Instruire online accesarea suitei de aplicații educaționale GSuite for education și Office 365 A1 20 (Noiembrie 2024)
Unele aplicații de finanțare fiscale și conexe pentru Android și iOS pot colecta și partaja datele utilizatorului inutil. Aveți oricare dintre aceste aplicații pe dispozitivul dvs. mobil?
Appthority a analizat mai multe aplicații de gestionare financiară fiscală pentru dispozitivele Android și iOS și a identificat o mână de comportamente riscante, inclusiv urmărirea locației utilizatorului, accesarea listei de contacte și partajarea datelor utilizatorilor cu terți, a declarat pentru SecurityWatch Domingo Guerra, președintele și fondatorul Appthority.
Multe dintre aplicații transmit date ale utilizatorilor, cum ar fi locația și informațiile de contact extrase din agenda de adrese către rețelele publicitare terțe, a găsit Appthority. Cea mai mare parte a comunicării cu rețelele publicitare s-a întâmplat într-un text clar. Deși avea sens ca aplicația H&R Block să aibă acces la locația utilizatorului, deoarece aplicația le permite utilizatorilor să găsească cel mai apropiat magazin, nu era foarte clar de ce aplicațiile rămase aveau nevoie de aceste informații.
"Restul împărtășesc acea locație cu rețelele publicitare", a spus Guerra.
Lista de aplicații includ „aplicații de impozitare pe nume mari și unii nou-veniți mai mici”, cum ar fi H&R Block TaxPrep 1040EZ și aplicațiile complete H&R Block, TaxCaster și My Tax Refund de la Intuit (compania din spatele TurboTax), Calculator de impozit pe venit 2012 de la un dezvoltator numit SydneyITGuy și impozitul federal 1040EZ de la RazRon, a declarat Guerra. Appthority și-a efectuat analiza utilizând propriul serviciu automat de gestionare a riscurilor pentru aplicații mobile.
Slab la Fără criptare
Aplicațiile au, în general, criptare slabă și au optat pentru a proteja selectiv o parte din traficul de date, spre deosebire de criptarea întregului trafic, a găsit Appthority. Câteva dintre aplicații - Guerra nu a specificat care dintre ele - au folosit cifre de criptare previzibile în loc să utilizeze randomizatoarele de criptare. Aplicațiile „fără nume”, cum ar fi cea de la RazRon, nu au folosit deloc criptarea.
Una dintre aplicațiile de nume mari a inclus căile de fișiere către codul sursă în informațiile sale de depanare din cadrul executabilului. Căi de fișiere includ adesea nume de utilizator și alte informații care ar putea fi utilizate pentru a viza dezvoltatorul sau compania de aplicații, a spus Appthority. Din nou, Guerra nu a identificat aplicația după nume.
În timp ce „în general nu este un risc major să scurgi aceste informații”, „ar trebui evitate dacă este posibil”, a spus Guerra.
Expunerea datelor
Unele dintre aplicații au oferit o caracteristică în care utilizatorul a putut face o poză cu W2, iar imaginea a fost salvată în „rola de cameră” a dispozitivului, găsită Appthority. Aceasta ar putea fi o problemă serioasă pentru utilizatorii care încarcă sau sincronizează automat cu servicii cloud, cum ar fi iCloud sau Google+, deoarece imaginea respectivă este salvată în locații nesigure și expuse potențial.
Atât versiunile iOS cât și Android ale aplicației H&R Block 1040EZ au folosit rețele de reclame precum AdMob, JumpTab și TapJoyAds, însă versiunea completă a aplicației H&R Block nu afișează anunțuri, a menționat Appthority.
iOS vs Android
Nu a existat multe diferențe între tipurile de comportamente riscante între versiunile iOS și Android ale aceleiași aplicații, a spus Guerra. Majoritatea diferențelor au redus modul în care sistemul de operare gestionează permisiunile. Android necesită aplicația să afișeze toate permisiunile înainte ca utilizatorul să poată instala și rula aplicația într-o abordare totală sau nimic. În schimb, iOS cere permisiunea pe măsură ce apare situația. De exemplu, aplicația iOS nu va avea acces la locația utilizatorului până când utilizatorul nu încearcă să utilizeze funcția de localizare a magazinului.
În conformitate cu cele mai recente reguli, iOS 6 interzice dezvoltatorilor de aplicații să urmărească utilizatorii pe baza ID-ului dispozitivului și a numerelor UDID sau EMEI. Această practică este încă comună în rândul aplicațiilor Android. Versiunea iOS a aplicației H&R Block 1040EZ nu urmărește utilizatorul, dar versiunea Android a aceleiași aplicații o face colectând ID-ul dispozitivului mobil, informațiile de construire și versiune a platformei mobile și ID-ul abonatului dispozitivului mobil, a spus Guerra.
Aplicația completă H&R Block la cererile Android și poate accesa o listă cu toate celelalte aplicații instalate pe dispozitiv. Versiunea iOS a aplicației nu are acces la aceste informații, deoarece sistemul de operare nu permite acest lucru.
Riscant sau nu?
Nu există nimic special riscant în acest moment, aceste aplicații nu transmit parole și înregistrări financiare în text clar. Cu toate acestea, rămâne faptul că aplicațiile partajează inutil datele utilizatorilor. Cu excepția unei aplicații, niciuna din celelalte aplicații nu oferea o caracteristică de localizare a magazinelor. Atunci de ce au avut aceste alte aplicații acces la locația utilizatorului? De ce aceste aplicații aveau nevoie de acces la contactele utilizatorului? Acest lucru nu pare necesar pentru pregătirea impozitelor.
Appthority s-a uitat la unele aplicații vechi „pentru a demonstra un punct”, a spus Geurra. Multe dintre aceste aplicații au o dată de expirare - cum ar fi aplicațiile fiscale din 2012 - unde utilizatorii se așteaptă să nu o mai utilizeze după ce au terminat de utilizat.
Aceste „aplicații de unică folosință” sunt scoase foarte rar de pe piață, iar utilizatorii ar trebui să fie conștienți de faptul că aceste aplicații au acces la datele de pe dispozitivele utilizatorului.