Preskúmali sme niekoľko aplikácií pre Android, ktoré zhromažďujú, aby parafrázovali Johna Hodgmana, viac informácií, ako vyžadujú. Preskúmali sme aj niekoľko aplikácií, ktoré s týmito informáciami narábajú zle, čo umožňuje ich ľahkú extrakciu alebo odpočúvanie. Tento týždeň nám aplikácia Appthority zobrazuje aplikáciu, ktorá poskytuje obidve možnosti, a tiež prenáša vaše informácie na akýkoľvek iný server, na ktorý sa vzťahuje.
Aplikácia kupónov
Appthority nás priviedla k aplikácii s názvom The Coupons App, ktorá sa momentálne nachádza v službe Google Play, ktorá obsahuje balík nástrojov, ktoré vás spoja s dohodami o všetkom, od reštaurácií po plyn. Vo svojej analýze však Appthority zistila, že The Coupons App „nepretržite odosiela súkromné informácie cez sieť bez toho, aby ich chránila šifrovaním.“ Patria sem vaše ID zariadenia alebo číslo IMEI, vaše telefónne číslo, vaša e-mailová adresa, PSČ a presná geolokácia vášho zariadenia.
Mnoho aplikácií zhromažďuje tento druh informácií - niektoré pre vlastnú analýzu a iné pre predaj reklamným sieťam tretích strán. Android vám bohužiaľ nedáva možnosť určiť, ku ktorým informáciám majú aplikácie prístup. Pri prvom stiahnutí aplikácie sa zobrazuje iba jedno upozornenie na povolenia typu „všetko alebo nič“. Nešifrovanie informácii túto otázku ešte viac nezosilňuje, pretože niekto, kto sa sieha na sieti, by ju mohol pri útoku typu „človek v strede“ nabiť.
Bohužiaľ, toto nie je posledná z hriechov aplikácie The Coupons App. „Súkromné údaje sa odosielajú na server, ktorý používa aplikácia, ale vynechávajú aj súkromné informácie v poli„ Sprostredkovateľ “, uviedla Appthority, odkazujúc na nesprávne napísané pole hlavičky HTML, ktoré identifikuje adresu aktuálnej webovej stránky. na webovú stránku, do ktorej smerujete.
Povedzme, že hľadáte výraz „lekáreň“ a aplikácia The Coupons App používa vo výsledkoch vyhľadávania obrázok z knihy Amazonu. Keď aplikácia komunikuje so spoločnosťou Amazon, aby získal tento obrázok, zahrnula do výmeny veľa vašich osobných informácií. Tu je príklad Appthority, zvýraznený dôrazne. Upozorňujeme, že e-mailová adresa a telefónne číslo sú zreteľne viditeľné.
Kliknite pre väčší obrázok
Appthority dodala, „ak by aplikácia správne šifrovala odkaz na svoje servery pomocou súkromných údajov (ssl), sprostredkovateľ by nebol nastavený ani odoslaný na externé webové stránky.“ Appthority poznamenáva, že Aplikácia kupónov pravdepodobne tieto informácie prenikne na iné servery nevedomky.
Ako môžete zostať v bezpečí?
Aplikácia Kupóny zdôrazňuje jeden z najväčších problémov s mobilnou bezpečnosťou: To, že koncový používateľ (vy) nie vždy vie, aké potenciálne nebezpečné činnosti môže aplikácia vykonávať. Aj keby ste si prečítali povolenia požadované aplikáciou The Coupons App, nevedeli by ste, prečo sa zhromažďujú informácie alebo že vaše údaje boli prenášané na iné servery.
Obmedzenia systému Android navyše neumožňujú určiť, ktoré aplikácie majú prístup k určitým informáciám - napríklad k vašej aktuálnej polohe. V prípade aplikácie The Coupons to znamená, že jej jednoduché použitie a ďalšie s podobnými problémami ohrozujú vaše informácie.
Zatiaľ sa zdá, že aplikácii The Coupons by sa malo vyhnúť, kým vývojári nevyriešia tieto bezpečnostné problémy.