Domov Securitywatch Firemní používatelia riskujú stratu dát prostredníctvom 78% mobilných aplikácií

Firemní používatelia riskujú stratu dát prostredníctvom 78% mobilných aplikácií

Anonim

Mnoho mobilných aplikácií prichádza s množstvom reklám, možnosťou pripojenia k sociálnym médiám alebo s oboma. Môžu sa javiť ako neškodné doplnky umiestnené v aplikácii za účelom zisku pre vývojárov aplikácie. Tieto funkcie však môžu mať prístup k PII používateľa alebo k osobným identifikačným informáciám. Schopnosť doplnkov získať prístup k citlivým informáciám je nebezpečná nielen preto, že jej funkcie môžu zhromažďovať citlivé informácie po tom, čo používateľ schváli povolenia aplikácie, ale tieto informácie môžu byť odhalené aj bez vedomia používateľa.

Štúdia spoločnosti Mojave Networks, technologického startupu so sídlom v San Mateo v Kalifornii, použila svoje laboratóriá hrozieb na testovanie 11 miliónov webových adries, ktoré odosielajú a prijímajú údaje vo viac ako 2000 aplikáciách nainštalovaných jej zákazníkmi. Štúdia sa zameriava na podnikových používateľov. Tieto adresy URL boli potom zaradené do kategórií na základe ich pripojenia k jednej z troch knižníc: reklamné siete, rozhrania API sociálnych médií alebo analytické rozhrania API. Výsledky ukázali, že 78 percent stiahnutých aplikácií sa pripojilo k jednej z troch skupín, čo používateľov vystavuje riziku neznámeho prístupu k svojim osobným informáciám alebo dokonca horšej straty osobných alebo obchodných údajov.

Nedostatok zodpovednosti

Ešte viac šokujúce je, ako sú tieto knižnice implementované. Využíva ich vývojár, ktorý dostane kód od tretej strany. Tieto kódy sa používajú predovšetkým na pomoc pri zhromažďovaní výnosov z reklamy, sledovaní štatistík používateľov alebo pri integrácii do sociálnych médií. V správe sa uvádza, že sú k dispozícii tisíce týchto knižníc, a väčšinou tieto kódy tretích strán väčšinou nezhromažďujú PII. Nedá sa im však veriť. Vo väčšine prípadov vývojár zvyčajne implementuje kód s malou alebo žiadnou kontrolou toho, čo obsahuje, čo vám ponecháva rozhodnutie slepo dôverovať vývojárskemu úsudku a riskovať šancu umožniť týmto knižniciam prístup k vašim údajom bez vášho vedomia.

Aby toho nebolo málo, je používateľ viazaný konkrétnymi pravidlami knižnice iba stiahnutím a inštaláciou aplikácie bez toho, aby videl podrobnosti tejto politiky. Z obchodného hľadiska to môže viesť k nedostatočnej zodpovednosti a pre správcov IT môže byť ťažké rozhodnúť sa, ktorá aplikácia predstavuje bezpečnostné riziko.

Každá aplikácia má v priemere približne deväť povolení. Päť z nich sa považuje za veľmi nebezpečné, pretože môžu poskytnúť prístup k informáciám, ktoré by inak zostali súkromné. Napríklad Airpush, jedna z najlepších reklamných knižníc v štúdii, zbiera nasledujúce údaje:

    • Android ID
    • Značka a model zariadenia
    • Typ a verzia mobilného prehliadača
    • IP adresa
    • ID generované vzduchom
    • Zoznam mobilných aplikácií nainštalovaných v telefóne.
    • „Ďalšie technické údaje o vašom zariadení.“

Ak mu to udelíte povolenie, spoločnosť Airpush môže tiež zhromažďovať:

    • Presné geografické umiestnenie vrátane krajiny a PSČ.
    • ID zariadení vrátane medzinárodného identifikačného čísla mobilného zariadenia (IMEI), sériového čísla zariadenia a adresy MAC (Media Access Control).
    • História prehliadača a ďalšie.

Používatelia sa môžu odhlásiť z niektorých zhromažďovaní údajov, ako je napríklad zoznam nainštalovaných mobilných aplikácií a história prehliadača.

Ak nainštalujete aplikáciu, ktorá používa Airpush, môže získať prístup ku všetkým týmto informáciám bez vášho vedomia. Najhoršie na tom je, že tento široký prístup k súkromným informáciám je typický a na trhu s mobilnými aplikáciami nie je nič nové.

Prevencia používateľov

Existuje iba toľko, že používateľ môže urobiť, pokiaľ ide o povolenie a odmietnutie povolení pre každú aplikáciu, najmä ak chce naplno využiť potenciál aplikácie. Našťastie existujú dve skvelé aplikácie, ktoré sa zaoberajú zisťovaním týchto potenciálnych porušení.

Ak program Lookout zistí, že reklamná sieť koná samostatne, bez súhlasu používateľa, klasifikuje sieť ako adware. Ďalej poskytuje informácie o adware vrátane jeho identifikácie, funkcie a možného poškodenia používateľa. viaProtect je ďalším skvelým nástrojom, ktorý poskytuje vizuálny graf o tom, kam sa užívateľské dáta prenášajú z hľadiska siete a krajiny a koľko z nich je šifrovaných. Používateľovi to umožňuje urobiť informované rozhodnutie o tom, či odstránia alebo nevymažú určité aplikácie, ktoré poskytujú príliš veľa informácií.

Bezpečnosť je v digitálnom veku prvoradá. Aplikácie ako Lookout a viaProtect umožňujú používateľom vedieť, či sú ich údaje ohrozené, ale stále je ťažké zabrániť knižniciam v prístupe k PII používateľa. Čítanie drobných výtlačkov a prijímanie informovaných rozhodnutí je zatiaľ najlepším spôsobom, ako čeliť nechcenému prístupu na mobilnom zariadení.

Firemní používatelia riskujú stratu dát prostredníctvom 78% mobilných aplikácií