Videó: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (November 2024)
Nagyon sok biztonságot és adatvédelmet feladunk, amikor alkalmazásokat töltünk le az Apple App Store-ból és a Google Playből. Ritkán megállunk annak ellenőrzésében, hogy az alkalmazások mi készülékeinkön és adatainkon dolgoznak, és elfelejtjük, hogy a fejlesztők az alkalmazás létrehozásakor nem prioritást élveznek a felhasználói adatvédelem szempontjából.
"Nem hiszem, hogy az emberek rájönnek, hogy nem mi vagyunk az ügyfelek ezeknek az ingyenes alkalmazásoknak. A hirdetők" - mondta Michael Sutton, a Zscaler biztonsági kutatási alelnöke a Security Watch-nak.
A fejlesztők azon gondolkodnak, hogy mit akarnak a hirdetők ezeknek az alkalmazásoknak az építésében, és ez a felhasználókkal kapcsolatos információ és a felhasználói tevékenység nyomon követésének képessége - mondta Sutton. Tehát, amikor az alkalmazás engedélyekről van szó, semmi sem akadályozza meg a fejlesztőket abban, hogy a szükségesnél többet kérjenek. A legtöbb ember nem olvassa el az engedélyek listáját, mielőtt elfogadta volna őket az alkalmazás telepítéséhez, és általában az emberek nem panaszkodnak, ha az alkalmazás túl sokat kér. Vannak esetek, amikor a fejlesztők engedélyeket kérnek, függetlenül attól, hogy valóban szükségük van-e rájuk.
Valójában nincs "ösztönző tényező arra, hogy ne tegyék őket, különösen a ház Android oldalán" - mondta Sutton.
ZScaler kutatási eredmények
A Zscaler ThreatLabz kutatói 550 iOS alkalmazást és 75 000 Android alkalmazást elemeztek, hogy megértsék, hogyan viszonyul a két mobil operációs rendszer a magánélethez és a biztonsághoz. Statikus elemzése során a csoport a kódban vizsgálta a tényleges példányokat, amelyekben bizonyos hozzáférési szinteket igénylő funkciókat hívtak meg. Így ellenőrizhetik, hogy a funkció valóban a kért engedélyt használja-e.
A megállapítások meglehetősen mélyrehatóak és lenyűgözőek, például az a tény, hogy a „Játék és szórakozás” kategóriába tartozó iOS-alkalmazások több mint 60% -a engedélyt kér a telefonos funkciókhoz és a földrajzi helyzethez. A Zscaler ezt a megállapítást "zavarónak" nevezte, megjegyezve, hogy a közelmúltban számoltak be arról, hogy az alkalmazások kémkednek a felhasználói tevékenységekre. Ez a szám magasabb az Életstílus-alkalmazások esetében, 81% -uk igényli a funkcionalitást. Összességében az iOS-alkalmazások 34 százaléka kérte engedélyt a címjegyzékbe való belépéshez, 83 százalék kérdezte az e-mail hozzáférést, és 46 százalék olvasta a felhasználó naptárát.
"A 97 százalékkal rendelkező alkalmazások, amelyek legalább egy nyomon követett funkciót (címjegyzék, telefonálás, hely, e-mail naptár vagy UUID) használnak, amint azt állítottuk, annyit, ha nem is többet fogyasztunk, mint amennyit fogyasztunk" - írta Zscaler a blog.
Az Android oldalról a Zscaler úgy találta, hogy az SMS-engedélyt kérő alkalmazások 68 százaléka kéri az SMS-ek küldésének képességét. Ez aggodalomra ad okot, figyelembe véve az SMS-csalások népszerűségét és a spam-eket, hogy a felhasználókat becsapják a prémium számokra küldött üzenetekbe. Az SMS-en engedélyezett alkalmazások további 28% -a szintén igényli az SMS-üzenetek olvasásának képességét. Ez szintén aggodalomra ad okot, ha figyelembe vesszük a mobilbank-oldalak és más szolgáltatások számát, amelyek SMS-ben küldik el kódokat két tényezős hitelesítéshez vagy meghatározott tranzakciók megerősítéséhez. "Ez egy nagyon kockázatos engedély egy alkalmazás megadására" - mondta Sutton, megjegyezve, hogy az Apple még ezt az engedélyt sem adja meg.
A jó dolog az, hogy jelenleg az alkalmazások kevesebb, mint 10% -a kér SMS-engedélyeket. De még mindig.
Az elemzett Android-alkalmazások közül a Zscaler azt találta, hogy 36 százalék a helymeghatározási információkat, 46 százaléka pedig a telefon állami engedélyét kérte, amely lehetővé teszi az alkalmazások számára a SIM-kártya adatainak és a telefon egyedi IMEI-azonosítójának elérését.
"Ez egy finom egyensúly annak között, amit hajlandó feladni egy ingyenes alkalmazásért cserébe" - mondta Sutton.
Az Android további kockázatoknak teheti ki a felhasználókat
Sutton szempontjából a legnagyobb probléma az volt, hogy az Android nem adta a felhasználóknak ellenőrzést az alkalmazások engedélyei felett. "Nem vagyok rajongója az összes, vagy semmi Android-modellnek" - mondta Sutton, veszélyesnek hívva.
Kicsit szomorú, mert az Android valójában túllép az iOS-en, mivel a fejlesztőknek nagyon finom ellenőrzési szintet biztosít. Ez a szintű ellenőrzés azonban nem terjed ki magára az alkalmazásra, mivel ha a felhasználónak nem tetszik az alkalmazás által kért külön engedély, akkor a felhasználó nem tudja telepíteni az alkalmazást. Az Apple viszont telepíti az iOS alkalmazást, és amikor egy adott funkcióra szükség van, engedélyt kér a felhasználótól.
"Ez az egyik, amit az Apple jobban tesz" - mondta Sutton. Azt mondta, hogy az iOS-modell szerinti engedélyek „kiemelkedő megközelítése” jobban segíti a fogyasztók védelmét.
Az Apple azért is küzdött, hogy megakadályozza a fejlesztőket az eszközök nyomon követésében - mondta Sutton. A fejlesztőknek eredetileg megengedték, hogy lekérdezzék az eszköz egyedi UDID-jét, amelyet a hirdetők profilok készítéséhez használhattak, és megérthetik, hogy milyen alkalmazásokat használnak a felhasználók. Annak ellenére, hogy az Apple betiltotta az UDID használatát, a Zscaler megállapította, hogy az elemzésében szereplő iOS-alkalmazások 38 százaléka továbbra is rendelkezik hozzáféréssel. Az Apple azt is megtiltotta, hogy a fejlesztők nyomon kövessék a MAC-címeket. Az UUID az előnyben részesített megközelítés, mivel egy alkalmazásonként és eszközönként generált egyedi érték, amely megakadályozza, hogy a hirdetők nyomon kövessék a felhasználókat az alkalmazások között.
Az Apple "valóban harcban állt, hogy megakadályozza a fejlesztőket az eszközök nyomon követésében" - mondta Sutton. "A Google nem tett semmit ebben a birodalomban."
