Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (November 2024)
Keď sťahujeme aplikácie z obchodov Apple App Store a Google Play, vzdávame sa dosť bezpečia a súkromia. Zriedka prestávame skúmať, čo aplikácie robia na našich zariadeniach a na základe našich údajov, a zabúdame, že vývojári pri vytváraní aplikácie uprednostňujú ochranu osobných údajov používateľov.
„To, čo si myslím, že si ľudia neuvedomujú, že nie sme zákazníkom týchto bezplatných aplikácií. Inzerenti sú, “ povedal pre agentúru Security Watch Michael Sutton, viceprezident spoločnosti Zscaler pre bezpečnostný výskum.
Vývojári premýšľajú o tom, čo inzerenti pri vytváraní týchto aplikácií chcú, a to sú informácie o používateľoch a schopnosti sledovať aktivitu používateľov, uviedol Sutton. Pokiaľ ide o povolenia aplikácií, vývojári nebránia žiadať viac, ako potrebujú. Väčšina ľudí nečíta zoznam povolení skôr, ako ich všetkých prijme na inštaláciu aplikácie, a ľudia sa vo všeobecnosti sťažujú, či sa zdá, že aplikácia požaduje príliš veľa. Existujú prípady, keď vývojári požadujú povolenie bez ohľadu na to, či ich skutočne potrebujú.
V skutočnosti „nie je odrádzajúcich, aby ich neodradili, najmä na strane Androidu domu, “ povedal Sutton.
Zistenia výskumu ZScaler
Vedci spoločnosti Zscaler ThreatLabz analyzovali 550 aplikácií pre iOS a 75 000 aplikácií pre Android, aby pochopili, ako dva mobilné operačné systémy pristupujú k ochrane súkromia a bezpečnosti. Vo svojej statickej analýze tím hľadal skutočné prípady v kóde, kde sa volali funkcie vyžadujúce konkrétne úrovne prístupu. Týmto spôsobom mohli overiť, či funkcia skutočne používa povolenie, o ktoré požiadala.
Zistenia sú dosť podrobné a fascinujúce, napríklad skutočnosť, že viac ako 60 percent aplikácií pre systém iOS v kategórii „Hry a zábava“ požaduje povolenie na telefónne funkcie a geografické umiestnenie. Zscaler označil tento nález za „znepokojujúci“ a poznamenal, že v poslednej dobe sa objavili správy o špehovaní aplikácií na aktivitu používateľov. Toto číslo je vyššie pre aplikácie životného štýlu, pričom 81 percent požaduje funkčnosť. Celkovo 34 percent aplikácií pre systém iOS požiadalo o povolenie na prístup k adresáru, 83 percent požiadalo o prístup k e-mailu a 46 percent si mohlo prečítať kalendár používateľa.
„S 97 percentami aplikácií, ktoré používajú aspoň jednu z sledovaných funkcií (adresár, telefónia, miesto, e-mailový kalendár alebo UUID), ako je uvedené, sa spotrebuje toľko, ak nie viac, ako konzumujeme, “ napísal Zscaler blog.
Na strane Android Zscaler zistil, že 68 percent aplikácií, ktoré požadujú SMS oprávnenie, žiada o možnosť odosielať SMS správy. To je niečo, čoho sa treba báť, vzhľadom na popularitu podvodov s SMS správami a podvodu používateľov spamu pri odosielaní správ na prémiové čísla. Ďalších 28 percent aplikácií s oprávneniami SMS tiež požaduje možnosť čítať správy SMS. Toto je ďalšia oblasť záujmu, keď vezmete do úvahy počet stránok mobilného bankovníctva a ďalších služieb, ktoré odosielajú kódy prostredníctvom SMS na dvojfaktorovú autentifikáciu alebo na potvrdenie konkrétnych transakcií. „Je to veľmi riskantné povolenie na udelenie aplikácie, “ povedal Sutton a poznamenal, že Apple toto povolenie ani neudelí.
Dobrá vec je, že v súčasnosti menej ako 10 percent aplikácií v súčasnosti požaduje povolenia SMS. Ale aj tak.
Z analyzovaných aplikácií pre Android Zscaler zistil, že 36 percent požiadalo o informácie o polohe a 46 percent požiadalo o štátne povolenie telefónu, čo umožňuje aplikáciám prístup k informáciám o karte SIM a jedinečný identifikátor IMEI telefónu.
„Je to krehká rovnováha medzi tým, čo sme ochotní vzdať výmenou za bezplatnú aplikáciu, “ povedal Sutton.
Android vystavuje používateľov väčšiemu riziku
Najväčší problém, pokiaľ ide o spoločnosť Sutton, bola skutočnosť, že Android nedával používateľom žiadnu kontrolu nad tým, aké povolenia môžu mať aplikácie. „Nie som fanúšikom modelu všetko alebo nič v systéme Android, “ povedal Sutton a označil ho za „nebezpečný“.
Je to trochu smutné, pretože Android vlastne ide ďalej ako iOS, pretože vývojárom poskytuje veľmi podrobnú úroveň kontroly. Táto úroveň kontroly sa však neprenáša do samotnej aplikácie, pretože ak sa používateľovi nepáči konkrétne povolenie, ktoré požaduje aplikácia, nemôže aplikáciu nainštalovať. Apple na druhej strane nainštaluje aplikáciu pre iOS a potom, keď je potrebná určitá funkcia, vyzve používateľa na povolenie.
„To je jedno, čo robí Apple lepšie, “ povedal Sutton. Povedal, že „lepší prístup“ k povoleniam podľa modelu iOS robí lepšiu prácu na ochrane spotrebiteľov.
Apple tiež bojoval, aby zabránil vývojárom sledovať zariadenia, povedal Sutton. Vývojári mali pôvodne povolené zisťovať jedinečný identifikátor UDID zariadenia, ktorý inzerenti mohli použiť na vytváranie profilov a porozumieť tomu, aké aplikácie používali používatelia. Aj keď spoločnosť Apple zakázala používanie UDID, Zscaler zistil, že 38 percent aplikácií pre iOS vo svojej analýze stále malo prístup. Apple tiež zakázal vývojárom sledovať MAC adresy. UUID je preferovaný prístup, pretože ide o jedinečnú hodnotu vygenerovanú pre aplikáciu a zariadenie, ktorá inzerentom bráni sledovať používateľov v aplikáciách.
Spoločnosť Apple „skutočne bojovala, aby zabránila vývojárom sledovať zariadenia, “ povedal Sutton. „Google v tejto oblasti neurobil nič.“