Ділові користувачі ризикують втратою даних через 78% мобільних додатків

Багато мобільних додатків оснащено великою кількістю реклами, можливістю підключення до соціальних медіа чи обох. Вони можуть здаватися нешкідливими додатками, розміщеними в додатку з метою отримання прибутку для розробника програми. Однак ці функції можуть мати можливість доступу до PII користувача або особистої інформації. Можливість додатків отримувати доступ до конфіденційної інформації небезпечна не тільки тим, що її функції можуть збирати конфіденційну інформацію після того, як користувач затвердить дозволи програми, але також може бути відкрита інформація без відома користувача.

У дослідженні компанії Mojave Networks, запуску технологічної безпеки, що базується в Сан-Матео, Каліфорнія, було використано їхні лабораторії з загрозою для тестування 11 мільйонів URL-адрес, які надсилають та отримують дані у понад 2000 додатках, встановлених її клієнтами, при цьому дослідження зосереджено на ділових користувачів. Ці URL-адреси потім були розміщені в категорії на основі їх підключення до однієї з трьох бібліотек: рекламних мереж, API соціальних медіа чи API-програм аналітики. Результати показали, що 78 відсотків завантажених додатків підключені до однієї з трьох груп, що наражає користувачів на небезпеку невідомого доступу до їх особистої інформації або, ще гірше, втрати особистих чи ділових даних.

Відсутність підзвітності

Що ще більше вражає, як реалізуються ці бібліотеки. Вони використовуються розробником, який отримує код від третьої сторони. Ці коди в основному використовуються для збору доходу від реклами, відстеження статистики користувачів або інтеграції з соціальними медіа. У звіті зазначалося, що є тисячі цих бібліотек, і здебільшого ці сторонні коди зазвичай не збирають PII. Однак не всім з них можна довіряти. У більшості випадків розробник зазвичай реалізовує код з невеликим або відсутнім переглядом того, що він містить, залишаючи вам рішення сліпо довіряти судженням розробника та ризикувати можливістю дозволити цим бібліотекам отримати доступ до ваших даних без вашого відома.

Що ще гірше, користувач пов'язується з особливими правилами бібліотеки, просто завантажуючи та встановлюючи додаток, не бачачи деталей політики. З точки зору бізнесу, це може призвести до недостатньої відповідальності та ускладнить ІТ-адміністраторам вирішити, який додаток становить загрозу безпеці.

У середньому кожен додаток має дев'ять дозволів. П'ять з них вважаються дуже небезпечними, оскільки вони можуть надати доступ до інформації, яка в іншому випадку залишатиметься приватною. Наприклад, Airpush, одна з найпопулярніших бібліотек оголошень у дослідженні, збирає такі дані:

• Android ID
• Марка пристрою та модель
• Тип та версія мобільного браузера
• IP-адреса
• Ідентифікований Airpush ідентифікатор
• Список мобільних додатків, встановлених на телефоні.
• "Інші технічні дані щодо вашого пристрою."

Якщо ви дасте йому дозвіл на це, Airpush також може збирати:

• Точне геолокація, включаючи країну та поштовий індекс.
• Ідентифікатори пристрою, включаючи номер міжнародної ідентифікації мобільного обладнання (IMEI), серійний номер пристрою та адресу управління доступом до медіа (MAC).
• Історія веб-переглядачів та багато іншого.

Користувачі можуть відмовитися від деякого збору даних, наприклад, списку встановлених мобільних додатків та історії браузера.

Якщо ви встановите додаток, який використовує Airpush, він може отримати доступ до всієї цієї інформації без вашого відома. Найгірше те, що такий широкий доступ до приватної інформації є типовим і нічого нового на ринку мобільних додатків.

Профілактика користувачів

Є лише стільки, що користувач може зробити з точки зору дозволу та зменшення дозволів для кожного додатка, особливо якщо він хоче отримати повний потенціал програми. На щастя, є два чудових додатки, які займаються виявленням цих потенційних порушень.

Якщо Lookout визначає, що рекламна мережа діє самостійно, без згоди користувача, вона класифікує мережу як рекламне ПЗ. Крім того, він надає інформацію про рекламне програмне забезпечення, включаючи його ідентифікацію, функціонування та потенційну шкоду для користувача. viaProtect - це ще один чудовий інструмент, що забезпечує візуальний графік про те, куди збираються дані користувачів з точки зору мережі та країни та скільки їх зашифровано. Це дозволяє користувачеві приймати зважене рішення щодо того, видаляти чи ні певні програми, які дають занадто багато інформації.

Безпека є найважливішою в епоху цифрових технологій. Такі програми, як Lookout і viaProtect, дають користувачам можливість знати, чи є їхня небезпека, але все ще важко запобігти доступу бібліотек до користувачів. Наразі читання тонкого друку та прийняття обґрунтованого рішення - найкращий спосіб протидіяти небажаному доступу на мобільному пристрої.