Video: Why YouTubers use two phones (iPhone vs Android) (Lokakuu 2024)
Luovutamme melko paljon tietoturvaa ja yksityisyyttä ladatessamme sovelluksia Applen App Storesta ja Google Playsta. Harvoin lakkaamme tutkimasta, mitä sovellukset tekevät laitteillamme ja tiedoillamme, ja unohdamme, että kehittäjät eivät aseta käyttäjän yksityisyyttä etusijalle sovelluksen rakentamisessa.
"Asia, jota en usko, että ihmiset tajuavat, että emme ole näiden ilmaisten sovellusten asiakas. Mainostajat ovat", Zscalerin turvallisuustutkimuksen varapuheenjohtaja Michael Sutton kertoi Security Watchille.
Kehittäjät miettivät sitä, mitä mainostajat haluavat näiden sovellusten rakentamisessa. Tämä on tietoa käyttäjistä ja kyvystä seurata käyttäjän toimintaa, Sutton sanoi. Joten sovelluslupien suhteen mikään ei estä kehittäjiä pyytämästä enemmän kuin he tarvitsevat. Useimmat ihmiset eivät lue käyttöoikeusluetteloa ennen kuin ne kaikki hyväksyvät sovelluksen asentamisen, ja ihmiset yleensä eivät valita, jos sovellus näyttää pyytävän liikaa. On tapauksia, joissa kehittäjät pyytävät lupia riippumatta siitä, tarvitsevatko he niitä todella.
Itse asiassa "ei ole mitään heikentävää, että he eivät halua, etenkin talon Android-puolella", Sutton sanoi.
ZScaler-tutkimustulokset
Zscaler ThreatLabz -yrityksen tutkijat analysoivat 550 iOS-sovellusta ja 75 000 Android-sovellusta ymmärtääksesi kuinka kaksi mobiili käyttöjärjestelmää lähestyvät yksityisyyttä ja turvallisuutta. Staattisessa analyysissään ryhmä etsi todellisia esiintymiä koodista, jossa kutsuttiin toimintoja, jotka vaativat erityisiä käyttöoikeustasoja. Tällä tavalla he voivat varmistaa, että toiminto käytti tosiasiassa pyytämäänsä lupaa.
Tulokset ovat melko perusteellisia ja kiehtovia, kuten se, että yli 60 prosenttia "Peli ja viihde" -kategorian iOS-sovelluksista pyytää lupaa puhelintoimintoihin ja maantieteelliseen sijaintiin. Zscaler kutsui tätä havaintoa "huolestuttavaksi" ja pani merkille, että viime aikoina on ollut raportteja sovelluksista, jotka vakoilevat käyttäjän toimintaa. Tämä määrä on suurempi Lifestyle-sovelluksissa, 81 prosenttia vaatii toiminnallisuutta. Kaiken kaikkiaan 34 prosenttia iOS-sovelluksista pyysi lupaa käyttää osoitekirjaa, 83 prosenttia pyysi sähköpostin käyttöoikeutta ja 46 prosenttia pystyi lukemaan käyttäjän kalenteria.
"Kun 97 prosenttia sovelluksista käyttää ainakin yhtä seurattavista toiminnoista (osoitekirja, puhelin, sijainti, sähköposti kalenteri tai UUID), kuten todettiin, meitä kulutetaan paljon, jos ei enemmän, kuin kulutamme", Zscaler kirjoitti blogi.
Android-puolella Zscaler havaitsi, että 68 prosenttia tekstiviestejä pyytävistä sovelluksista vaatii mahdollisuutta lähettää tekstiviestejä. Tämä on huolestuttava, kun otetaan huomioon tekstiviestien petosten suosio ja roskapostin huijaaminen käyttäjille lähettämään viestejä premium-numeroihin. Toinen 28 prosenttia sovelluksista, joilla on tekstiviestejä, pyytää myös kykyä lukea tekstiviestejä. Tämä on myös toinen huolenaihe, kun tarkastellaan matkaviestinpankkisivustojen ja muiden palveluiden lukumäärää, jotka lähettävät koodeja tekstiviestinä kaksifaktoriseksi todentamiseksi tai tiettyjen tapahtumien vahvistamiseksi. "Se on erittäin riskialtinen lupa myöntää sovellus", Sutton totesi, että Apple ei edes myönnä tätä lupaa.
Hyvä asia on, että tällä hetkellä alle 10 prosenttia sovelluksista pyytää tällä hetkellä tekstiviestejä. Mutta silti.
Analysoiduista Android-sovelluksista Zscaler havaitsi, että 36 prosenttia pyysi sijaintitietoja ja 46 prosenttia puhelimen valtion lupaa, joka antaa sovelluksille pääsyn SIM-korttitietoihin ja puhelimen yksilölliseen IMEI-tunnisteeseen.
"Se on herkkä tasapaino sen välillä, jonka olemme valmiita luopumaan vastineeksi ilmaisesta sovelluksesta", Sutton sanoi.
Android altistaa käyttäjät lisää riskejä
Suurin ongelma Suttonin suhteen oli se, että Android ei antanut käyttäjille mitään hallintaa siitä, mitkä käyttöoikeudet sovelluksilla voisi olla. "En ole kaikkien Android-laitteiden mallin fani, " Sutton sanoi kutsuen sitä "vaaralliseksi".
Se on hiukan surullinen, koska Android menee todellakin enemmän kuin iOS antamalla kehittäjille erittäin rakeisen hallintatason. Tätä hallintotasoa ei kuitenkaan siirretä itse sovellukseen, koska jos käyttäjä ei pidä sovelluksen pyytämästä erityisestä luvasta, käyttäjä ei voi asentaa sovellusta. Toisaalta Apple asentaa iOS-sovelluksen, ja kun tietty toiminto on tarpeen, kysyy käyttäjältä lupaa.
"Se on yksi asia, jonka Apple tekee paremmin", Sutton sanoi. Hän sanoi, että iOS-mallin mukainen "parempi lähestymistapa" käyttöoikeuksiin suojaa kuluttajia paremmin.
Apple on myös taistellut estääkseen kehittäjiä seuraamasta laitteita, Sutton sanoi. Kehittäjien annettiin alun perin kysyä laitteen ainutlaatuista UDID-tunnusta, jota mainostajat voivat käyttää profiilien luomiseen ja ymmärtää, millaisia sovelluksia käyttäjät käyttävät. Vaikka Apple on kieltänyt UDID: n käytön, Zscaler havaitsi, että 38 prosentilla analyysiinsä analysoiduista iOS-sovelluksista oli edelleen pääsy. Apple on myös kieltänyt kehittäjien seuraamasta MAC-osoitteita. UUID on suositeltava lähestymistapa, koska se on sovellusta ja laitetta kohti luotu yksilöivä arvo, joka estää mainostajia seuraamasta käyttäjiä eri sovelluksissa.
Apple on "todella taistellut taistelussa estääkseen kehittäjiä seuraamaan laitteita", Sutton sanoi. "Google ei ole tehnyt mitään siinä valtakunnassa."
