Video: Ansiotulojen verotus -laskuja (Marraskuu 2024)
Jotkut vero- ja niihin liittyvät Android- ja iOS-järjestelmien rahoitussovellukset voivat kerätä ja jakaa käyttäjätietoja tarpeettomasti. Onko sinulla mitään näistä sovelluksista mobiililaitteellasi?
Appthority analysoi useita verohallinnon sovelluksia Android- ja iOS-laitteille ja tunnisti kourallisen riskialtista käyttäytymistä, kuten käyttäjän sijainnin seuraamisen, yhteystietojen luettelon käyttämisen ja käyttäjätietojen jakamisen kolmansien osapuolten kanssa, Appthorityn presidentti ja perustaja Domingo Guerra kertoi SecurityWatchille.
Appthority löysi, että monet sovellukset lähettävät käyttäjätietoja, kuten sijainti- ja osoitekirjasta otettuja yhteystietoja kolmansien osapuolten mainosverkkoihin. Suurin osa viestinnästä mainosverkostojen kanssa tapahtui selkeästi. Vaikka H&R Block -sovelluksella oli käytössään pääsy käyttäjän sijaintiin, koska sovelluksen avulla käyttäjät voivat löytää lähimmän myymälän, "ei ollut kovin selvää, miksi" jäljellä olevat sovellukset tarvitsivat näitä tietoja.
"Loput jakavat vain kyseisen sijainnin mainosverkostojen kanssa", Guerra sanoi.
Sovellusluetteloon sisältyi "iso nimiverosovellukset ja jotkut pienemmät uudet tulokkaat", kuten H&R Block TaxPrep 1040EZ ja Intuitin (TurboTaxin takana oleva yritys) täydet H&R Block -sovellukset, TaxCaster ja My Tax Refund, tuloverolaskuri 2012 kehittäjältä nimeltä SydneyITGuy ja liittovaltion vero 1040EZ RazRonilta, Guerra sanoi. Appthority suoritti analyysin omalla automatisoidulla mobiilisovelluksen riskienhallintapalvelullaan.
Heikko, ettei salausta ole
Sovelluksissa oli yleensä heikko salaus ja ne valitsivat valikoivasti tietyn tietoliikenteen suojaamisen, eikä kaiken liikenteen salaamiseen, Appthority löysi. Muutama sovellus - Guerra ei määrittänyt kumpaa - käytti ennustettavia salaussalauksia salauksen satunnaistajien hyödyntämisen sijasta. "Ei nimeä" -sovellukset, kuten RazRonin sovellukset, eivät käyttäneet salausta ollenkaan.
Yksi iso nimi -sovelluksista sisälsi tiedostopolut lähdekoodiin virheenkorjaustietoihinsa suoritettavassa muodossa. Tiedostopolut sisältävät usein käyttäjätunnuksia ja muuta tietoa, jota voidaan käyttää kohdistamaan sovelluksen kehittäjä tai yritys, Appthority sanoi. Jälleen Guerra ei tunnistanut sovellusta nimellä.
Vaikka "tämän tiedon vuotamiseen ei yleensä ole suurta riskiä", sitä tulisi välttää mahdollisuuksien mukaan ", Guerra sanoi.
Tietojen paljastaminen
Jotkut sovellukset tarjosivat ominaisuuden, jonka avulla käyttäjä voi ottaa kuvan W2: sta, ja kuva tallennettiin sitten laitteen "kameran rullaan", Appthority löytyi. Tämä voi olla vakava ongelma käyttäjille, jotka lataavat tai synkronoivat automaattisesti pilvipalveluiden, kuten iCloud tai Google+, kanssa, koska tämä kuva tallennetaan epävarmoihin paikkoihin ja mahdollisesti paljastetaan.
Sekä H&R Block 1040EZ -sovelluksen iOS- että Android-versioissa käytettiin mainosverkkoja, kuten AdMob, JumpTab ja TapJoyAds, mutta H&R Block -sovelluksen täysversio ei näytä mainoksia, Appthority totesi.
iOS vs. Android
Saman sovelluksen iOS- ja Android-versioiden välisissä vaarallisissa käyttäytymistavoissa ei ollut paljon eroja, Guerra sanoi. Suurin osa eroista johtui siitä, kuinka käyttöjärjestelmä käsittelee käyttöoikeuksia. Android vaatii sovelluksen näyttämään kaikki käyttöoikeudet, ennen kuin käyttäjä voi asentaa ja suorittaa sovelluksen "kaikki tai ei mitään" -lähestymistavalla. Sitä vastoin iOS pyytää lupaa heidän tilanteensa noustessa. Esimerkiksi iOS-sovelluksella ei ole pääsyä käyttäjän sijaintiin ennen kuin käyttäjä yrittää käyttää tallennuspaikan ominaisuutta.
Uusimpien sääntöjen mukaan iOS 6 kieltää sovelluskehittäjiä seuraamasta käyttäjiä laitteen tunnuksen ja UDID- tai EMEI-numeroiden perusteella. Tämä käytäntö on edelleen yleinen Android-sovelluksissa. H&R Block 1040EZ -sovelluksen iOS-versio ei seuraa käyttäjää, mutta saman sovelluksen Android-versio tekee keräämällä mobiililaitteen tunnuksen, mobiilialustan rakennus- ja versiotiedot sekä mobiililaitteen tilaajatunnuksen, Guerra kertoi.
Täysi H&R Block -sovellus Android-pyynnöissä ja voi käyttää luetteloa kaikista muista laitteeseen asennetuista sovelluksista. Sovelluksen iOS-versiolla ei ole pääsyä näihin tietoihin, koska käyttöjärjestelmä ei salli tätä.
Onko riskialtista vai ei?
Tässä vaiheessa ei ole mitään erityisen riskialtista. Nämä sovellukset eivät lähetä salasanoja ja tilitietoja selkeästi. Tosiasia, että sovellukset jakavat käyttäjätietoja tarpeettomasti. Yhtä sovellusta lukuun ottamatta yksikään muista sovelluksista ei tarjonnut kaupan paikannusominaisuutta. Miksi sitten nämä muut sovellukset tarvitsivat pääsyn käyttäjän sijaintiin? Miksi nämä sovellukset tarvitsivat pääsyn käyttäjän yhteystietoihin? Se ei vaikuta välttämättömältä verojen valmistelussa.
Appthority katsoi joitain vanhoja sovelluksia "todistaakseen pisteen", Geurra sanoi. Monilla näistä sovelluksista on eräänlainen voimassaolopäivä, kuten vuoden 2012 verosovellukset, joissa käyttäjien odotetaan enää käyttävän sitä sen jälkeen, kun he ovat lopettaneet käytön.
Nämä "kertakäyttöiset sovellukset" vedetään harvoin markkinoilta, ja käyttäjien tulisi olla tietoisia siitä, että näillä sovelluksilla on pääsy käyttäjän laitteiden tietoihin.