Відео: AMONG US - Bad Timing (Вересень 2024)
Ми відмовляємося від великої безпеки та конфіденційності, коли завантажуємо додатки з Apple App Store і Google Play. Ми рідко зупиняємось на вивченні того, що програми роблять на наших пристроях та з нашими даними, і забуваємо, що розробники не надають пріоритетності конфіденційності користувачів під час створення програми.
"Я не думаю, що люди усвідомлюють, що ми не клієнт для цих безкоштовних додатків. Рекламодавці - це", - сказав Майкл Саттон, віце-президент із досліджень безпеки, Zscaler.
Розробники замислюються над тим, чого хочуть рекламодавці під час створення цих додатків, а це інформація про користувачів та можливість відстежувати активність користувачів, сказав Саттон. Тож, коли мова йде про дозволи на додаток, розробники нічого не заважають просити більше, ніж потрібно. Більшість людей не читають список дозволів, перш ніж прийняти їх усіх для встановлення програми, і люди, як правило, не скаржаться, якщо програма, здається, вимагає занадто багато. Бувають випадки, коли розробники просять дозволів незалежно від того, чи потрібні вони насправді.
Насправді, "немає для них зневаги не робити, особливо з боку будинку Android", - сказав Саттон.
Результати досліджень ZScaler
Дослідники з Zscaler ThreatLabz проаналізували 550 додатків для iOS та 75 000 додатків для Android, щоб зрозуміти, як дві мобільні операційні системи підходять до конфіденційності та безпеки. У своєму статичному аналізі команда шукала фактичні екземпляри коду, де викликалися функції, що вимагають конкретного рівня доступу. Таким чином, вони могли перевірити, чи функція насправді використовує дозволений запит.
Висновки досить глибокі та захоплюючі, наприклад, той факт, що понад 60 відсотків додатків iOS категорії "Ігри та розваги" вимагають дозволу на функціонування телефонії та геолокацію. Zscaler назвав це знаходження "тривожним", зазначивши, що останнім часом з'явилися повідомлення про програми, що шпигують за активністю користувачів. Ця кількість більша для додатків Lifestyle, і 81 відсоток вимагає функціональності. Загалом, 34 відсотки додатків iOS попросили дозволу на доступ до адресної книги, 83 відсотки запитували доступ електронною поштою, а 46 відсотків могли читати календар користувача.
"З 97 відсотками додатків, що використовують принаймні один з функцій, які відслідковуються (адресна книга, телефонія, місцеположення, календар електронної пошти або UUID), як зазначено, ми споживаємо стільки, як не більше, ніж ми споживаємо", - написав Zscaler на блог.
Що стосується Android, Zscaler виявив, що 68 відсотків програм, які вимагають дозволу на SMS, просять можливість надсилати SMS-повідомлення. Про це варто турбуватися, враховуючи популярність SMS-шахрайства та спаму, що обманює користувачів у надсиланні повідомлень на преміальні номери. Ще 28 відсотків програм із дозволом на SMS також вимагають можливість читати SMS-повідомлення. Це також є іншою проблемою, коли ви враховуєте кількість сайтів мобільного банкінгу та інших служб, які надсилають коди через SMS для двофакторної аутентифікації або для підтвердження конкретних транзакцій. "Це дуже ризикований дозвіл на надання програми", - сказав Саттон, зазначивши, що Apple навіть не дає цього дозволу.
Хороша річ у тому, що наразі менше 10 відсотків додатків просять дозволу на отримання SMS-повідомлень. Але все ж.
З проаналізованих додатків для Android Zscaler виявив, що 36 відсотків запитували інформацію про місцезнаходження, а 46 відсотків запитували дозвіл на стан телефону, що дозволяє додаткам отримувати доступ до інформації про SIM-карту та унікальний ідентифікатор IMEI телефону.
"Це тонкий баланс між тим, що ми готові відмовитись в обмін на безкоштовну заявку", - сказав Саттон.
Android наражає користувачів на більше ризиків
Найбільшою проблемою, що стосується Саттона, було те, що Android не давав користувачам ніякого контролю над тим, які дозволи можуть мати додатки. "Я не є фанатом моделі" повністю чи ні "в Android", - сказав Саттон, назвавши це "небезпечним".
Це трохи сумно, адже Android насправді йде далі, ніж iOS, надаючи розробникам дуже детальний рівень контролю. Однак цей рівень контролю не переноситься на саму програму, оскільки якщо користувачеві не подобається певний дозвіл, який запитує програма, користувач не може встановити додаток. Apple, з іншого боку, встановлює додаток iOS, і тоді, коли потрібна певна функціональність, запитує користувача на дозвіл.
"Це одне, що Apple робить краще", - сказав Саттон. Він заявив, що "чудовий підхід" до дозволів за моделлю iOS робить кращу роботу, захищаючи споживачів.
Apple також боролася, щоб не допустити розробників відслідковувати пристрої, сказав Саттон. Спочатку розробникам було дозволено запитувати унікальний UDID пристрою, який рекламодавці могли використовувати для створення профілів та розуміння, якими програмами користувачі користуються. Навіть незважаючи на те, що Apple заборонила використовувати UDID, Zscaler виявив, що 38 відсотків додатків iOS у своєму аналізі все ще мали доступ. Apple також заборонила розробникам відстежувати MAC-адреси. UUID є кращим підходом, оскільки це унікальне значення, що генерується на додаток і пристрій, не дозволяючи рекламодавцям відстежувати користувачів у програмах.
Apple "справді вела битву, щоб не допустити розробників відслідковувати пристрої", - сказав Саттон. "Google нічого не зробив у цій царині."
