Domov Varnostna ura Kaj vaša davčna aplikacija počne s svojimi podatki?

Kaj vaša davčna aplikacija počne s svojimi podatki?

Video: Nowe przepisy podatkowe (November 2024)

Video: Nowe przepisy podatkowe (November 2024)
Anonim

Nekatere davčne in z njimi povezane finančne aplikacije za Android in iOS po nepotrebnem zbirajo in delijo uporabniške podatke. Imate katero od teh aplikacij na svoji mobilni napravi?

Appthority je analiziral več aplikacij za upravljanje davčnega financiranja za naprave Android in iOS in določil peščico tveganega vedenja, vključno s sledenjem lokacije uporabnikov, dostopom do seznama stikov in deljenjem uporabniških podatkov s tretjimi osebami, je za SecurityWatch povedal Domingo Guerra, predsednik in ustanovitelj Appthorityja.

Številne aplikacije prenašajo uporabniške podatke, na primer lokacijo in podatke o stikih, potegnjene iz imenika v oglasna omrežja drugih proizvajalcev, je ugotovil Appthority. Večina komunikacije z oglasnimi omrežji je bila jasno napisana. Čeprav je imelo smisel, da ima aplikacija H&R Block dostop do lokacije uporabnika, saj aplikacija omogoča, da poiščejo najbližjo prodajno postajo, ni bilo povsem jasno, zakaj "preostale aplikacije" potrebujejo te informacije.

"Ostali to lokacijo samo delijo z oglasnimi omrežji, " je dejala Guerra.

Seznam aplikacij je vseboval "velike davčne aplikacije in nekaj manjših novincev", kot so H&R Block TaxPrep 1040EZ in celotne H&R Block aplikacije, TaxCaster in My Tax Refund od Intuita (podjetje, ki stoji za TurboTaxom), Calculator dohodnine 2012 od razvijalca imenovanega Guerra, SydneyITGuy in zvezni davek 1040EZ iz RazRona. Appthority je analizo opravil z lastno avtomatizirano storitvijo upravljanja tveganj za mobilne aplikacije.

Šibko, da ni šifriranja

Aplikacija je na splošno šibko šifrirala in se odločila za selektivno zaščito nekaterih podatkovnega prometa v nasprotju s šifriranjem vsega prometa, je ugotovil Appthority. Nekatere izmed aplikacij - Guerra ni navedla, katere so - predvidljive šifrirane šifrirane šifrirane šifrirane šifrirne naprave namesto vzpodbujanja. Aplikacije "brez imena", kot je na primer RazRon, sploh niso uporabljale šifriranja.

Ena izmed velikih imen je v podatke za odpravljanje napak v datoteko vključila poti datotek do izvorne kode. Filethaths pogosto vključujejo uporabniška imena in druge informacije, ki bi jih lahko uporabili za ciljanje na razvijalca ali podjetje, je povedal Appthority. Ponovno Guerra ni identificirala aplikacije po imenu.

Čeprav "na splošno ni večjih tveganj, da bi te informacije puščale, " "se je treba izogibati, če je mogoče, " je dejala Guerra.

Izpostavljanje podatkov

Nekatere aplikacije so ponujale funkcijo, kjer je uporabnik lahko fotografiral W2, slika pa je bila nato shranjena v napravi "roll kamera", je ugotovila Appthority. To je lahko resna težava za uporabnike, ki samodejno naložijo ali sinhronizirajo storitve v oblaku, kot sta iCloud ali Google+, saj se ta slika shrani na nevarne lokacije in je potencialno izpostavljena.

Tako različice iOS in Android aplikacije H&R Block 1040EZ sta uporabljali oglasna omrežja, kot so AdMob, JumpTab in TapJoyAds, vendar celotna različica aplikacije H&R Block ne prikazuje oglasov, ugotavlja Appthority.

iOS vs Android

Guerra je dejala, da ni bilo veliko razlik v vrstah tveganega vedenja med različicami iOS in Android iste aplikacije. Večina razlik se je zmanjšala na način, kako operacijski sistem obravnava dovoljenja. Android od aplikacije zahteva, da prikaže vsa dovoljenja, preden lahko uporabnik aplikacijo namesti in zažene s pristopom vse ali nič. Nasprotno pa iOS prosi za dovoljenje, ko nastopijo razmere. Na primer, aplikacija iOS ne bo imela dostopa do uporabnikove lokacije, dokler uporabnik ne bo poskusil uporabiti funkcije iskalnika trgovine.

Po najnovejših pravilih iOS 6 razvijalcem aplikacij prepoveduje sledenje uporabnikom na podlagi ID-ja naprave in številk UDID ali EMEI. Ta praksa je še vedno pogosta med aplikacijami za Android. Različica iOS aplikacije H&R Block 1040EZ ne sledi uporabniku, različica Android iste aplikacije pa zbira ID mobilne naprave, gradnjo mobilne platforme in podatke o različici ter ID naročnika mobilne naprave, je dejala Guerra.

Celotna aplikacija H&R Block za Android zahteve in lahko dostopa do seznama vseh drugih aplikacij, nameščenih v napravi. Različica iOS aplikacije nima dostopa do teh informacij, ker operacijski sistem tega ne omogoča.

Tvegano ali ne?

V tem trenutku ni nič posebej tveganega, te aplikacije ne prenašajo gesla in finančnih zapisov v jasnem besedilu. Vendar ostaja dejstvo, da aplikacije po nepotrebnem delijo uporabniške podatke. Z izjemo ene aplikacije nobena od drugih aplikacij ni ponujala funkcije lociranja trgovine. Zakaj so potem te druge aplikacije potrebovale dostop do lokacije uporabnika? Zakaj so te aplikacije potrebovale dostop do stikov uporabnika? To se ne zdi potrebno za pripravo davkov.

Appthority je pogledal nekaj starih aplikacij, "da bi dokazal točko, " je dejal Geurra. Mnoge od teh aplikacij imajo vrste veljavnosti - na primer davčne aplikacije za leto 2012 - pri katerih se pričakuje, da jih uporabniki ne bodo več uporabljali po končani uporabi.

Te "aplikacije za enkratno uporabo" redko potegnejo s trga in uporabniki bi se morali zavedati, da imajo te aplikacije dostop do podatkov na uporabnikovih napravah.

Kaj vaša davčna aplikacija počne s svojimi podatki?