Будинки Securitywatch Сердиті птахи діляться вашими даними далеко і всьому

Сердиті птахи діляться вашими даними далеко і всьому

Відео: URL Encode [HTML in Arabic #24] (Листопад 2024)

Відео: URL Encode [HTML in Arabic #24] (Листопад 2024)
Anonim

Angry Birds досить базікати з особистими даними гравців, згідно з поглибленим аналізом FireEye.

Версія для Android Angry Birds, доступна в Google Play, останнє оновлення 4 березня, ділиться особистими даними, такими як вік, стать та адреса, а також інформація про пристрої з декількома сторонами, повідомляється в публікації в блозі дослідників FireEye Джиммі Су, Цзіньцзяна Чжая та Дао Вей. Користувачі, які грають у гру без акаунта Rovio, також діляться інформацією про свої пристрої, не усвідомлюючи це, йдеться у повідомленні.

Це не перший раз, коли було показано, що розробники, що стоять за дуже популярними програмами Angry Birds, дуже часто обмінюються даними користувачів. У січні спільний звіт The New York Times, ProPublica та Guardian виявив, що державні установи, такі як Агентство національної безпеки, можуть натискати на гру та інші подібні мобільні додатки, щоб збирати дані користувачів. Хоча попередні звіти були зосереджені на старих версіях або "спеціальних виданнях" гри, команда FireEye виявила, що широкий обмін відбувається у кількох версіях, включаючи останню "класичну" версію, Angry Birds 4.1.0.

Досі понад 2 мільярди завантажень Angry Birds та понад чверть мільярдів користувачів, які створюють облікові записи Rovio, "такий обмін впливає на багато, багато пристроїв", - написали дослідники.

Який вид спільного доступу?

Rovio рекомендує користувачам створювати облікові записи користувачів, щоб зберігати результати, об’єкти в грі та мати можливість обмінюватись пристроями в середині гри. Реєстрація запитує дату народження, стать та електронну пошту. Гравці також можуть підписатися на розсилку, в якій запитують електронну пошту, ім’я, країну проживання та стать. Інформація агрегується в єдиний профіль, порівнюючи адресу електронної пошти.

FireEye встановив, що дані надходять із програми Angry Birds, Angry Birds Cloud та рекламної платформи посередництва та бібліотеки Burstly. Рекламні мережі сторонніх компаній Jumptap і Millennial Media отримують інформацію від Burstly для відображення цільових оголошень. Angry Birds також використовує Skyrocket, послугу монетизації додатків від Burstly.

Бурст додає унікальний ідентифікатор клієнта до даних, які він збирає, і робить їх доступними для ряду інших рекламних мереж - не лише Jumptap та Millenial Media. Поряд з особистими даними передавались також інформація про пристрої (включаючи Android та ідентифікатори пристроїв), MAC та IP-адреси, а також марка обладнання та модель. На даний момент користувач не має уявлення або контролює того, хто має цю інформацію, зауважив FireEye.

Дослідники також були стурбовані тим, що інформація передається через HTTP, у простому тексті чи у "легко розшифрованих форматах", згідно з публікацією.

Leaky, Leaky Apps

Політика конфіденційності Rovio чітко говорить про те, що компанія буде збирати та завантажувати інформацію до сторонніх маркетингових організацій, тому вона охоплювала її основи. Однак якщо особиста інформація передається, вона ніколи не повинна знаходитися в простому тексті. Не може бути ніяких виправдань.

Охоронні компанії все більше стурбовані обсягом інформації, яку мобільні додатки передають рекламним мережам. У понеділок ми регулярно розповідаємо про витікаючі додатки як частину мобільної загрози. Clueful BitDefender повідомляє вас про обмін особистою інформацією, а нещодавно запущений сайт viaProtect отримав viaForensics, що дозволяє вам глибоко ознайомитися з точністю того, куди ви збираєтеся.

Але це дійсно хороший приклад того, скільки даних може бути зібрано і як вони просто поширюються за межі однієї програми. Гравці можуть подумати, що дані використовуються лише для націленої реклами в грі, але, як видно з цього аналізу, як тільки дані знаходяться на серверах Burstly, їх може використовувати будь-хто, навіть поза грою. Хоча FireEye зосередився на Angry Birds, це впевнено зробити ставку, що інші ігри та програми використовують подібну тактику для обміну інформацією про користувачів. Пам'ятайте, що те, що щось безкоштовно, не означає, що ви не платите.

Сердиті птахи діляться вашими даними далеко і всьому