211service.com
Vai vēlaties izsekot cilvēkiem? Tam ir lietotne
Vairāk nekā puse no visām iPhone lietotnēm apkopo un koplieto unikālu kodu, ko varētu izmantot lietotāju izsekošanai bez viņu ziņas, liecina nesen veikts pētījums.
Manuels Egele, Vīnes Tehniskās universitātes doktorants, un trīs citi pētnieki pētīja, kā vairāk nekā 1400 iPhone lietotņu apstrādā lietotāju datus. Tikai neliels skaits klaji apdraudēja privātumu: 36 piekļuva ierīces atrašanās vietai, iepriekš neinformējot lietotāju; vēl pieci bez atļaujas iegūti dati no lietotāja adrešu grāmatas. Pētījums tiks prezentēts tīkla un izplatīto sistēmu drošības simpozijā februāra sākumā.
Tomēr vairāk nekā puse no pētītajām iPhone lietojumprogrammām apkopoja ierīces ID — 40 ciparu heksadecimālo skaitli, kas identificē noteiktu tālruni. Vairāk nekā 750 pētītajās lietotnēs tika izmantota kāda veida izsekošanas tehnoloģija. Apmēram 200 gadījumos izstrādātājs izveidoja veidu, kā izsekot ierīces identifikatora kodam; pārējās lietotnes izmantoja šo reklamēšanas vai izsekošanas programmatūras bibliotēkas funkcionalitāti. Egeles pētījumi tiks prezentēti Tīklu un sadalīto sistēmu drošības simpozijā februāra sākumā.
Uzņēmumiem, kas nav pārāk likumīgi, ir potenciāls veidot savu lietotāju profilus, saka Egele. Identifikators [kods] nav saistīts ar lietotājvārdu, taču jūs varētu to saistīt ar Facebook kontu, un tas sniegtu jums daudz informācijas par lietotāju, tostarp lielāko daļu laika viņa īsto vārdu.
Apple, kas nesen nosvinēja savu 10 miljardo App Store lejupielādi, veic lietojumprogrammu pārbaudi un pieprasa izstrādātājiem pieprasīt autorizāciju, lai piekļūtu lietotāju datiem. Tomēr maz ir zināms par to, kā uzņēmums pārbauda katru lietotni.
Jūs precīzi nezināt, ko šīs lietotnes dara — tās nenāk no lieliem izstrādātājiem, tās nāk no parastiem cilvēkiem, saka Čārlijs Millers, iPhone drošības eksperts un Independent Security Evaluators galvenais analītiķis. IPhone automātiski ierobežo to, ko programmas var darīt, izmantojot tā saukto smilškaste, taču šie ierobežojumi nav īpaši stingri, kas nozīmē, ka nav grūti savākt personas datus, saka Millers. Tie darbojas smilšu kastē, taču tā ir diezgan saudzīga smilšu kaste.
Četri pētnieki analizēja 825 lietotnes, kas bez maksas pieejamas Apple App Store un vēl 582 lietotnes Cydia repozitorijā — pakalpojumā, kas padara programmatūru pieejamu lietotājiem, kuri no iPhone tālruņiem ir noņēmuši Apple drošības pasākumus, un šo procesu sauc par jailbreaking.
Egele un viņa kolēģi privātuma pārkāpumu definēja kā gadījumu, kad programma no ierīces nolasa sensitīvus datus — adreses, tālruņu numurus, e-pasta konta informāciju — un nosūta šos datus internetā, neprasot atļauju. Pētniekiem nebija iespējas atklāt, vai lietotājs tika pievilts dot piekrišanu.
Privātuma apraksts, ko izdomājām, ir tāds, ka nevēlējāmies, lai sensitīvi dati no mobilās ierīces tiktu izvilkti, lietotājam nezinot, stāsta Egele. Bet mēs nevaram pateikt, vai tas ir ļaunprātīgs vai nē.
Pētnieki izstrādāja programmatūru, lai pārbaudītu katras programmas funkcionalitāti un noteiktu, vai tā apkopo un pārsūtīja sensitīvu informāciju, neinformējot lietotāju. Viņiem bija arī jāatšifrē, kā darbojas noteiktas lietotnes, izmantojot tikai ierobežotu informāciju.
Interesants ieskats no pētījuma: lietotnes no App Store, visticamāk, slepus piekļuva lietotāja datiem, nekā lietotnes no nekontrolētā Cydia repozitorija, saka Egele.
Millers saka, ka Apple ir jāuzlabo lietojumprogrammu pārbaudes process. Problēmai nav viegls risinājums, taču labākais veids, kā to izdarīt, ir centrālā klīringa centrs (piemēram, Apple), viņš saka. Bet šobrīd Apple, iespējams, to nedara pareizi.