Відео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Листопад 2024)
Деякі програми оподаткування та пов’язані з цим фінансування для Android та iOS можуть зайво збирати та обмінюватися даними користувачів. У вас є якийсь із цих додатків на своєму мобільному пристрої?
Appthority проаналізував декілька додатків управління фінансовими податками на пристроях Android та iOS та виявив декілька ризикованих форм поведінки, включаючи відстеження місцезнаходження користувачів, доступ до списку контактів та обмін даними користувачів з третіми сторонами, розповів SecurityWatch президент і засновник Appthority Домінго Герер.
Багато додатків передають користувацькі дані, такі як місцеположення та контактні дані, витягнуті з адресної книги до сторонніх рекламних мереж, знайдено Appthority. Більшість комунікацій із рекламними мережами проходили чітко. Хоча додаток H&R Block мав сенс отримати доступ до місцезнаходження користувача, оскільки додаток дозволяє користувачам знаходити найближчу вітрину магазину, було "не зовсім зрозуміло, чому" для решти додатків потрібна ця інформація.
"Решта просто діляться цим розташуванням з рекламними мережами", - сказала Герра.
У список додатків включені "додатки з податку на великі імена та деякі менші прибульці", такі як H&R Block TaxPrep 1040EZ та повний додаток H&R Block, TaxCaster та My Tax Refund від Intuit (компанія, що стоїть за TurboTax), калькулятор податку на прибуток 2012 від розробника на ім'я SyerneyITGuy та Федеральний податок 1040EZ від RazRon, заявила Герра. Appthority провів свій аналіз, використовуючи власну автоматизовану службу управління ризиками для мобільних додатків.
Слабкі до відсутності шифрування
Програми зазвичай мали слабке шифрування і вирішили вибірково захистити частину трафіку даних, на відміну від шифрування всього трафіку, виявив Appthority. Кілька програм - Guerra не вказав, які - використовували передбачувані шифри шифрування замість використання рандомізаторів шифрування. Програми "без імені", наприклад, програма від RazRon, взагалі не використовували шифрування.
Одне з додатків із великим іменем включало шляхи файлів до вихідного коду у свою інформацію про налагодження у виконуваному файлі. Шляхи файлів часто містять імена користувачів та іншу інформацію, яка може бути використана для націлювання на розробника програми чи компанію, повідомляє Appthority. Знову ж таки, Герра не визначив додаток по імені.
Хоча "зазвичай не є головним ризиком витоку цієї інформації", "цього слід уникати, якщо це можливо", - сказала Герра.
Розкриття даних
Деякі додатки пропонували функцію, за якою користувач міг сфотографувати W2, а потім зображення було збережено у «камері рулону» пристрою, виявив Appthority. Це може стати серйозною проблемою для користувачів, які автоматично завантажують або синхронізують із хмарними службами, такими як iCloud або Google+, оскільки це зображення зберігається в незахищених місцях та потенційно виявляється.
І в iOS, і в Android версіях додатка H&R Block 1040EZ використовуються рекламні мережі, такі як AdMob, JumpTab і TapJoyAds, але повна версія додатка H&R Block не відображає рекламу, зазначив Appthority.
iOS проти Android
Різниця у типах ризикованої поведінки між версіями iOS та Android одного і того ж додатка було не багато, зазначає Guerra. Більшість відмінностей зводиться до того, як операційна система обробляє дозволи. Android вимагає, щоб програма відображала всі дозволи перед тим, як користувач зможе встановити та запустити програму за принципом "чи ні". На відміну від цього, iOS просить дозволу, коли виникає ситуація. Наприклад, програма iOS не матиме доступу до місцезнаходження користувача, поки користувач не спробує використати функцію локатора магазину.
Відповідно до останніх правил, iOS 6 забороняє розробникам додатків відстежувати користувачів на основі ідентифікатора пристрою та номерів UDID або EMEI. Така практика все ще поширена серед додатків Android. Версія iOS додатка H&R Block 1040EZ не відстежує користувача, але версія цього ж додатка для Android збирає ідентифікатор мобільного пристрою, побудову мобільної платформи та інформацію про версію та ідентифікатор абонента мобільного пристрою, заявила Герра.
Повний додаток H&R Block для запитів Android і може отримати доступ до списку всіх інших додатків, встановлених на пристрої. Версія програми iOS не має доступу до цієї інформації, оскільки операційна система цього не дозволяє.
Ризиково чи ні?
На даний момент немає нічого конкретного ризику, ці програми не передають паролі та фінансові записи чітким текстом. Однак факт залишається фактом, що програми обмінюються даними користувачів без потреби. За винятком одного додатка, жоден з інших додатків не пропонував функцію локатора магазину. Чому ж тоді цим іншим додаткам потрібен доступ до місцезнаходження користувача? Чому цим додаткам потрібен доступ до контактів користувача? Це не здається необхідним для підготовки податків.
Appthority дивився на деякі старі програми, "щоб довести свою точку", - сказала Дюрра. У багатьох із цих додатків існує термін придатності (наприклад, податкові програми 2012 року), коли очікується, що користувачі більше не використовуватимуть його після того, як вони закінчать його використання.
Ці "одноразові програми" рідко витягуються з ринку, і користувачі повинні знати, що ці додатки мають доступ до даних на пристроях користувача.