Mi az adóalkalmazása az adataival?

Egyes adó- és kapcsolódó pénzügyi alkalmazások Android és iOS számára esetleg szükségtelenül gyűjtik és osztják meg a felhasználói adatokat. Van-e ezen alkalmazások közül valamelyik a mobil eszközén?

Az Appthority számos adó- és pénzgazdálkodási alkalmazást elemezte az Android és iOS eszközökre, és maroknyi kockázatos viselkedést azonosított, ideértve a felhasználó helyének nyomon követését, a névjegyzékhez való hozzáférést és a felhasználói adatok megosztását harmadik felekkel - mondta Domingo Guerra, az Appthority elnöke és alapítója a SecurityWatch-nek.

Számos alkalmazás továbbítja a felhasználói adatokat, például a hely- és az elérhetőségi információkat a címjegyzékből a harmadik féltől származó hirdetési hálózatokhoz. A hirdetési hálózatokkal folytatott kommunikáció nagy része véletlenszerűen történt. Noha értelme volt annak, hogy a H&R Block alkalmazás hozzáférjen a felhasználó helyéhez, mivel az alkalmazás lehetővé teszi a felhasználók számára, hogy megtalálják a legközelebbi üzletet, nem volt túl világos, hogy a többi alkalmazás miért igényli ezt az információt.

"A többi csak megosztja ezt a helyet a hirdetési hálózatokkal" - mondta Guerra.

Az alkalmazások listáján szerepelt a „nagy név adóalapú alkalmazások és néhány kisebb újdonság”, például a H&R Block TaxPrep 1040EZ, valamint a teljes H&R Block alkalmazások, a TaxCaster és a My Tax Refund az Intuit-tól (a TurboTax mögött álló társaság), a 2012. évi jövedelemadó-kalkulátor egy nevű fejlesztőtől. A SydneyITGuy és a 1040EZ szövetségi adó a RazRon-tól, mondta Guerra. Az Appthority saját automatizált mobilalkalmazás-kockázatkezelési szolgáltatásával végzett elemzését.

Gyenge a titkosítás hiánya

Az alkalmazások általában gyenge titkosítással rendelkeztek, és az adatforgalom egy részének szelektív védelmét választották, szemben az összes forgalom titkosításával, találta az Appthority. Néhány alkalmazás (Guerra nem határozta meg, melyik) kiszámítható titkosítási rejtjeleket használt a titkosítási randomizátorok kihasználása helyett. A "név nélküli" alkalmazások, például a RazRon alkalmazásai, egyáltalán nem használtak titkosítást.

Az egyik nagy névű alkalmazás a futtatható fájl hibakeresési információiban tartalmazta a forráskódhoz vezető fájlútvonalakat. A fájlútvonalak gyakran tartalmaznak felhasználóneveket és egyéb információkat, amelyek felhasználhatók az alkalmazás fejlesztőjének vagy cégének célzására - mondta Appthority. Guerra ismét nem azonosította az alkalmazást név szerint.

Bár "általában nem jelent jelentős kockázatot az információ kiszivárogtatása", "ezt lehetőleg kerülni kell" - mondta Guerra.

Az adatok kitettsége

Néhány alkalmazás olyan funkcióval rendelkezik, amelyben a felhasználó képeket készíthet a W2-ről, majd a képet elmentte az eszköz „fényképezőgép-tekercsébe”. Ez komoly problémát jelenthet azoknak a felhasználóknak, akik automatikusan feltöltenek vagy szinkronizálnak olyan felhőalapú szolgáltatásokkal, mint például az iCloud vagy a Google+, mivel ez a kép nem biztonságos helyre kerül és potenciálisan ki van téve.

A H&R Block 1040EZ alkalmazás iOS és Android verziója egyaránt használt hirdetési hálózatokat, mint például az AdMob, JumpTab és TapJoyAds, de a H&R Block alkalmazás teljes verziója nem jelenít meg hirdetéseket, jegyezte meg Appthority.

iOS vs. Android

Nem volt sok különbség ugyanazon alkalmazás iOS és Android verziói között a kockázatos viselkedés típusa között - mondta Guerra. A különbségek többsége abból indult ki, hogy az operációs rendszer hogyan kezeli az engedélyeket. Az Android megköveteli, hogy az alkalmazás megjelenítse az összes engedélyt, mielőtt a felhasználó telepítheti és futtathatja az alkalmazást „mindent vagy semmit” megközelítéssel. Ezzel szemben az iOS engedélyt kér, amikor a helyzet felmerül. Például az iOS alkalmazás csak akkor fér hozzá a felhasználó helyéhez, amíg a felhasználó megpróbálja használni az áruház-helymeghatározó funkciót.

A legfrissebb szabályok szerint az iOS 6 megtiltja az alkalmazásfejlesztőknek, hogy nyomon kövessék a felhasználókat eszköz-azonosítójuk és UDID- vagy EMEI-számaik alapján. Ez a gyakorlat továbbra is általános az Android alkalmazások között. A H&R Block 1040EZ alkalmazás iOS verziója nem követi a felhasználót, de ugyanazon alkalmazás Android-verziója a mobil eszköz azonosítójának, a mobil platformon történő felépítésére és a verzióra vonatkozó információk, valamint a mobil eszköz előfizetői azonosítójának összegyűjtésével történik - mondta Guerra.

A teljes H&R Block alkalmazás az Android-kérelmeken, és képes hozzáférni az eszközre telepített összes többi alkalmazás listájához. Az alkalmazás iOS verziója nem fér hozzá ehhez az információhoz, mert az operációs rendszer ezt nem engedélyezi.

Kockázatos vagy sem?

Jelenleg nincs semmi különös kockázat, ezek az alkalmazások nem továbbítják a jelszavakat és a pénzügyi nyilvántartást egyértelmű szövegben. Az a tény azonban, hogy az alkalmazások feleslegesen osztják meg a felhasználói adatokat. Az egyik alkalmazás kivételével a többi alkalmazás sem kínálott áruház-kereső funkciót. Miért kellett ezeknek a többi alkalmazásnak hozzáférni a felhasználó helyéhez? Miért kellett ezeknek az alkalmazásoknak hozzáférni a felhasználó névjegyeihez? Ez nem tűnik szükségesnek az adók előkészítéséhez.

Az Appthority néhány régi alkalmazást megvizsgált, hogy "bizonyítson egy pontot" - mondta Geurra. Ezen alkalmazások közül soknak van egyfajta lejárati ideje - például a 2012-es adóalkalmazások -, ahol a felhasználók várhatóan nem használják tovább, miután befejezték a használatot.

Ezeket az egyszer használatos alkalmazásokat ritkán vonják ki a piacról, és a felhasználóknak tisztában kell lenniük azzal, hogy ezeknek az alkalmazásoknak hozzáférése van a felhasználói eszközökön található adatokhoz.