Video: Mobilna aplikacija VešKajJeš (Oktober 2024)
Številne mobilne aplikacije so opremljene s številnimi oglasi, možnostjo povezovanja v socialne medije ali obojega. Ti se lahko zdijo neškodljivi dodatki, nameščeni v aplikaciji z namenom dobička za razvijalca aplikacije. Vendar imajo te funkcije lahko dostop do uporabnikovega osebnega podatkov (PII) ali do osebno prepoznavnih podatkov. Možnost dodatkov za dostop do občutljivih informacij je nevarna ne samo zato, ker njene funkcije lahko zbirajo občutljive informacije, potem ko uporabnik odobri dovoljenja za aplikacijo, ampak se lahko informacije razkrijejo tudi brez uporabnikove vednosti.
Študija podjetja Mojave Networks, zagona tehnološkega varovanja s sedežem v San Mateu v Kaliforniji, je z njihovimi laboratoriji za grožnje preizkusila 11 milijonov URL-jev, ki pošiljajo in prejemajo podatke v več kot 2000 aplikacijah, ki so jih namestili kupci, študija pa se je osredotočila na poslovne uporabnike. Ti URL-ji so bili nato uvrščeni v kategorije na podlagi njihove povezave z eno od treh knjižnic: oglaševalskih omrežij, API-jev za socialne medije ali analitičnih API-jev. Rezultati so pokazali, da se je 78 odstotkov prenesenih aplikacij povezalo v eno od treh skupin, zaradi česar uporabniki ogrožajo neznan dostop do njihovih osebnih podatkov ali še huje, izgubo osebnih ali poslovnih podatkov.
Pomanjkanje odgovornosti
Še bolj šokantno je, kako se te knjižnice izvajajo. Uporablja jih razvijalec, ki prejme kodo od tretje osebe. Te kode se uporabljajo predvsem za pomoč pri zbiranju prihodkov od oglasov, spremljanju statistike uporabnikov ali integraciji s socialnimi mediji. Poročilo omenja, da je na voljo na tisoče teh knjižnic in večinoma te kode tretjih oseb običajno ne zbirajo PII. Vendar pa vsem ni mogoče zaupati. V večini primerov bo razvijalci običajno uporabili kodo z malo ali brez pregleda, kaj vsebujejo, pri čemer boste dobili odločitev, da slepo zaupate presoji razvijalca in tvegate možnost, da tem knjižnicam omogočite dostop do vaših podatkov brez vaše vednosti.
Da bi se stvari še poslabšale, uporabnika vežejo posebni pravilniki knjižnice samo s prenosom in nameščanjem aplikacije, ne da bi videli podrobnosti pravilnika. S poslovnega vidika lahko to povzroči pomanjkanje odgovornosti in IT-administratorjem oteži odločitev, katera aplikacija predstavlja varnostno tveganje.
Vsaka aplikacija ima v povprečju približno devet dovoljenj. Pet od teh se šteje za zelo nevarne, saj lahko zagotovijo dostop do informacij, ki bi sicer ostale zasebne. Airpush, na primer, ena od glavnih knjižnic oglasov v študiji, zbira naslednje podatke:
- Android ID
- Znamka in model naprave
- Vrsta in različica brskalnika za mobilne naprave
- IP naslov
- ID, ustvarjen s Airpush-om
- Seznam mobilnih aplikacij, nameščenih v telefonu.
- "Drugi tehnični podatki o vaši napravi."
Če za to dovolite, lahko Airpush tudi zbira:
- Natančna geolokacija, vključno z državo in poštno številko.
- ID-ji naprav, vključno z mednarodno identiteto mobilne opreme (IMEI), serijsko številko naprave in naslovom za nadzor dostopa do medijev (MAC).
- Zgodovina brskalnika in še več.
Uporabniki se lahko odpovejo od zbiranja podatkov, na primer seznama nameščenih mobilnih aplikacij in zgodovine brskalnika.
Če namestite aplikacijo, ki uporablja Airpush, lahko dobi dostop do vseh teh informacij brez vaše vednosti. Najhuje je, da je ta širok dostop do zasebnih informacij značilen in na trgu mobilnih aplikacij nič novega.
Preprečevanje uporabnikov
Obstaja le toliko, kar lahko uporabnik stori v zvezi z dovoljenjem in zmanjšanjem dovoljenj za vsako aplikacijo, še posebej, če želi izkoristiti ves potencial aplikacije. Na srečo obstajata dve odlični aplikaciji, ki se ukvarjata z odkrivanjem teh morebitnih kršitev.
Če Lookout ugotovi, da oglaševalno omrežje deluje sam, brez uporabnikove privolitve, ga omrežje razvrsti kot adware. Poleg tega vsebuje informacije o adware, vključno z njegovo identifikacijo, funkcijo in potencialno škodo za uporabnika. viaProtect je še eno odlično orodje, ki omogoča vizualni graf o tem, kam gredo uporabniški podatki glede na omrežje in državo in koliko podatkov je šifrirano. To uporabniku omogoča, da se informirano odloči, ali bo izbrisal določene aplikacije, ki dajejo preveč informacij.
Varnost je v digitalni dobi najpomembnejša. Aplikacije, kot sta Lookout in viaProtect, uporabnikom sporočajo, ali so njihovi podatki ogroženi, vendar je knjižnicam še vedno težko preprečiti dostop do uporabnikovega osebnega imena. Zaenkrat je branje drobnega tiska in sprejemanje informirane odločitve najboljši način za preprečevanje neželenega dostopa na mobilni napravi.
