Video: therunofsummer (Septembra 2024)
Niektoré aplikácie daní a súvisiace finančné aplikácie pre Android a iOS môžu zbytočne zhromažďovať a zdieľať údaje o používateľoch. Máte v mobilnom zariadení niektorú z týchto aplikácií?
Spoločnosť Appthority analyzovala niekoľko aplikácií na správu daní z daní pre zariadenia so systémom Android a iOS a identifikovala niekoľko rizikových správaní vrátane sledovania polohy používateľa, prístupu k zoznamu kontaktov a zdieľania údajov používateľa s tretími stranami. Domingo Guerra, prezident a zakladateľ spoločnosti Appthority, povedal spoločnosti SecurityWatch.
Veľa aplikácií prenáša údaje o používateľovi, ako sú napríklad poloha a kontaktné informácie vytiahnuté z adresára, do reklamných sietí tretích strán. Väčšina komunikácie s reklamnými sieťami sa stala zrozumiteľným textom. Aplikácia H&R Block mala zmysel, aby mala prístup k polohe používateľa, pretože táto aplikácia umožňuje používateľom nájsť najbližšiu výkladnú skrinku, ale nebolo celkom jasné, prečo „ostatné aplikácie tieto informácie potrebujú.
„Zvyšok iba zdieľa toto miesto s reklamnými sieťami, “ povedal Guerra.
Zoznam aplikácií obsahoval „aplikácie s veľkými menami a niektoré menšie nováčikovia“, ako napríklad H&R Block TaxPrep 1040EZ a úplné aplikácie H&R Block, TaxCaster a My Tax Refund from Intuit (spoločnosť za TurboTax), kalkulačka dane z príjmu 2012 od vývojára s názvom SydneyITGuy a spolková daň 1040EZ zo spoločnosti RazRon, uviedol Guerra. Appthority vykonala svoju analýzu pomocou vlastnej automatizovanej služby riadenia rizika pre mobilné aplikácie.
Slabé na žiadne šifrovanie
Aplikácie mali vo všeobecnosti slabé šifrovanie a rozhodli sa selektívne chrániť niektoré dátové prenosy, na rozdiel od šifrovania všetkého prenosu, zistila Appthority. Niekoľko aplikácií - Guerra nešpecifikovala, ktoré z nich - použili predpovedateľné šifrovacie šifry namiesto využívania šifrovacích randomizátorov. Aplikácie typu „bez mena“, ako napríklad aplikácia od spoločnosti RazRon, šifrovanie vôbec nepoužívali.
Jedna z veľkých názvov aplikácií zahrnovala cesty súborov k zdrojovému kódu vo svojich informáciách o ladení v spustiteľnom súbore. Filpaths často zahŕňajú užívateľské mená a ďalšie informácie, ktoré by mohli byť použité na zacielenie vývojára aplikácie alebo spoločnosti, Appthority povedal. Guerra opäť neidentifikoval aplikáciu podľa názvu.
Aj keď „vo všeobecnosti nie je hlavným rizikom úniku týchto informácií“, „je potrebné sa im vyhnúť, ak je to možné, “ uviedol Guerra.
Vystavenie údajov
Niektoré z aplikácií ponúkali funkciu, pri ktorej mohol užívateľ vyfotiť W2, a potom sa obrázok uložil do „kamery fotoaparátu“, našla sa Appthority. Môže to byť vážny problém pre používateľov, ktorí automaticky nahrávajú alebo synchronizujú s cloudovými službami, ako sú iCloud alebo Google+, pretože sa tento obrázok uloží na nezabezpečené miesta a potenciálne sa vystaví.
Verzia aplikácie H&R Block 1040EZ pre systémy iOS aj Android používala reklamné siete, ako sú AdMob, JumpTab a TapJoyAds, ale plná verzia aplikácie H&R Block nezobrazuje reklamy, poznamenal Appthority.
iOS vs Android
Guerra povedal, že medzi rizikovými správaním verzií iOS a Androidov tej istej aplikácie nebolo veľa rozdielov. Väčšina rozdielov sa znížila na to, ako operačný systém spracúva povolenia. Android vyžaduje, aby aplikácia zobrazila všetky povolenia skôr, ako bude môcť užívateľ nainštalovať a spustiť aplikáciu spôsobom „všetko alebo nič“. Na rozdiel od toho systém iOS požaduje povolenie, keď nastane situácia. Napríklad aplikácia pre systém iOS nebude mať prístup k polohe používateľa, kým sa používateľ nesnaží použiť funkciu vyhľadávača obchodov.
Podľa najnovších pravidiel iOS 6 zakazuje vývojárom aplikácií sledovať používateľov na základe ich ID zariadenia a čísel UDID alebo EMEI. Tento postup je stále bežný medzi aplikáciami pre Android. Verzia aplikácie H&R Block 1040EZ pre iOS nesleduje používateľa, ale verzia tej istej aplikácie pre Android zhromažďuje ID mobilného zariadenia, informácie o verzii a verzii mobilnej platformy a identifikáciu účastníka mobilného zariadenia, uviedol Guerra.
Plná aplikácia H&R Block na základe požiadaviek systému Android a umožňuje prístup k zoznamu všetkých ďalších aplikácií nainštalovaných v zariadení. Verzia aplikácie pre systém iOS nemá prístup k týmto informáciám, pretože to operačný systém nepovoľuje.
Rizikové alebo nie?
V tejto chvíli nie je nič konkrétne riskantné. Tieto aplikácie neprenášajú heslá a finančné záznamy čistým textom. Faktom však zostáva, že aplikácie zbytočne zdieľajú údaje používateľa. S výnimkou jednej aplikácie žiadna z ďalších aplikácií neponúka funkciu vyhľadávača obchodov. Prečo teda tieto ďalšie aplikácie potrebujú prístup k polohe používateľa? Prečo tieto aplikácie potrebujú prístup ku kontaktom používateľa? Nezdá sa to potrebné na prípravu daní.
Appthority sa pozrel na niektoré staré aplikácie „aby to dokázal, “ uviedla Geurra. Mnohé z týchto aplikácií majú dátum vypršania platnosti, napríklad daňové aplikácie z roku 2012, kedy sa od používateľov očakáva, že ich prestanú používať po dokončení používania.
Tieto „jednorazové aplikácie“ sa zriedka sťahujú z trhu a používatelia by si mali byť vedomí, že tieto aplikácie majú prístup k údajom na zariadeniach používateľa.
