Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (November 2024)
Precej varnosti in zasebnosti se odpovemo, ko prenašamo aplikacije iz Applove trgovine App Store in Google Play. Redko se ustavimo, da bi natančno preučili, kaj aplikacije počnejo na naših napravah in z našimi podatki, in pozabimo, da razvijalci pri gradnji aplikacije ne dajejo prednost zasebnosti uporabnikov.
"Mislim, da ljudje ne vemo, da nismo stranka teh brezplačnih aplikacij. Oglaševalci so, " je za Security Watch povedal Michael Sutton, podpredsednik varnostnega raziskovanja Zscaler.
Razvijalci razmišljajo o tem, kaj želijo oglaševalci pri gradnji teh aplikacij, in to so podatki o uporabnikih in zmožnosti sledenja dejavnosti uporabnikov, je dejal Sutton. Ko gre za dovoljenja za aplikacije, razvijalci ne preprečujejo, da bi zahtevali več, kot potrebujejo. Večina ljudi ne prebere seznama dovoljenj, preden jih sprejmejo za namestitev aplikacije, ljudje pa se običajno ne pritožujejo, če se zdi, da aplikacija zahteva preveč. Obstajajo primeri, ko razvijalci zaprosijo za dovoljenja ne glede na to, ali jih dejansko potrebujejo.
Pravzaprav "ne odvrača zanje, še posebej na Android strani hiše", je dejal Sutton.
Ugotovitve raziskave ZScaler
Raziskovalci podjetja Zscaler ThreatLabz so analizirali 550 aplikacij za iOS in 75.000 aplikacij za Android, da bi razumeli, kako oba mobilna operacijska sistema pristopata k zasebnosti in varnosti. Ekipa je v svoji statični analizi iskala dejanske primere v kodi, kjer so bile klicane funkcije, ki zahtevajo določene ravni dostopa. Tako bi lahko preverili, ali je funkcija dejansko uporabljala dovoljenje, ki ga je zahtevala.
Ugotovitve so precej poglobljene in fascinantne, na primer dejstvo, da več kot 60 odstotkov iOS aplikacij v kategoriji »Igra in zabava« zahteva dovoljenje za telefoniranje in geolokacijo. Zscaler je to ugotovitev označil za "zaskrbljujočo" in ugotovil, da so bila nedavno objavljena poročila o aplikacijah, ki vohunijo za uporabniško aktivnostjo. Ta številka je višja za aplikacije Lifestyle, saj jih 81 odstotkov zahteva funkcionalnost. Na splošno je 34 odstotkov aplikacij za iOS zaprosilo za dovoljenje za dostop do imenika, 83 odstotkov jih je zahtevalo dostop po e-pošti, 46 odstotkov pa jih je lahko bralo koledar uporabnika.
"97 odstotkov aplikacij, ki uporabljajo vsaj eno od funkcij, ki se spremljajo (adresar, telefonija, lokacija, e-poštni koledar ali UUID), kot rečeno, porabimo toliko, če ne več, kot porabimo, " je Zscaler zapisal na blog.
Zscaler je na strani Android ugotovil, da 68 odstotkov aplikacij, ki zahtevajo dovoljenja za SMS, zahteva možnost pošiljanja SMS sporočil. S tem je treba skrbeti, če upoštevamo priljubljenost prevar SMS in prevare uporabnikov, ki pošiljajo sporočila v premium številke. Še 28 odstotkov aplikacij z dovoljenji za SMS zahteva, da berejo sporočila SMS. To je še eno zaskrbljujoče vprašanje, če upoštevate število spletnih mest za mobilno bančništvo in druge storitve, ki pošiljajo kode prek SMS-a za dvofaktorsko preverjanje pristnosti ali za potrditev določenih transakcij. "To je zelo tvegano dovoljenje za odobritev aplikacije, " je dejal Sutton in pripomnil, da Apple tega dovoljenja niti ne podeli.
Dobra stvar je, da trenutno manj kot 10 odstotkov aplikacij trenutno zaprosi za dovoljenja za SMS. Ampak še vedno.
Med analiziranimi aplikacijami za Android je Zscaler ugotovil, da jih je 36 odstotkov zahtevalo informacije o lokaciji, 46 odstotkov pa jih je zaprosilo za državno dovoljenje, ki aplikacijam omogoča dostop do informacij o SIM kartici in do edinstvenega identifikatorja IMEI telefona.
"To je občutljivo razmerje med tem, česar smo se pripravljeni odpovedati v zameno za brezplačno aplikacijo, " je dejal Sutton.
Android izpostavite uporabnikom več tveganj
Največja težava, kar se tiče Suttona, je bilo dejstvo, da Android uporabnikom ni dal nadzora nad tem, kakšna dovoljenja lahko imajo aplikacije. "Nisem ljubitelj modela" all-or-none "v Androidu, " je dejal Sutton in ga označil za "nevarnega".
Kar je žalostno, ker Android dejansko gre dlje od iOS-a, saj razvijalcem omogoča zelo natančen nivo nadzora. Vendar ta raven nadzora ne prenaša na samo aplikacijo, saj če uporabnik ne mara določenega dovoljenja, ki ga aplikacija zahteva, potem uporabnik ne more namestiti aplikacije. Apple na drugi strani namesti aplikacijo za iOS in nato, ko je potrebna določena funkcionalnost, uporabnika pozove k dovoljenju.
"To je ena stvar, ki jo ima Apple bolje, " je dejal Sutton. Povedal je, da "boljši pristop" do dovoljenj po modelu iOS boljše delo ščiti potrošnike.
Apple se je tudi boril, da bi razvijalcem preprečil sledenje naprav, je dejal Sutton. Razvijalci so prvotno lahko poizvedovali o edinstvenem UDID-ju naprave, ki bi ga oglaševalci lahko uporabili za izdelavo profilov in razumevanje, kakšne aplikacije uporabljajo uporabniki. Čeprav je Apple prepovedal uporabo UDID-a, je Zscaler ugotovil, da ima 38 odstotkov aplikacij za iOS v svoji analizi še vedno dostop. Apple je razvijalcem prepovedal tudi sledenje naslovov MAC. UUID je najprimernejši pristop, saj gre za edinstveno vrednost, ustvarjeno na aplikacijo in napravo, saj oglaševalcem preprečuje sledenje uporabnikom v aplikacijah.
Apple se je "resnično boril v bitki, da bi razvijalcem preprečil sledenje naprav", je dejal Sutton. "Google na tem področju ni storil ničesar."