Elárulnak minket mobilalkalmazásaink?

2015. november 10.
5931
Figyelem! Ez a hír már több, mint egy éves! A benne lévő információk elavultak lehetnek!
Figyelem! Ez a hír a régi androgeek rendszerből lett átmentve, ezért képek és szövegformázások hiányozhatnak belőle!
Hanziness profilja, adatai
Hanziness
Egy felmérés szerint a legnépszerűbb Android és iOS alkalmazások nagy része harmadik féllel is megoszt személyes információkat.

A Massachusetts Institue of Technology (MIT), a Harvard és a Carnegie-Mellon közös felmérést készített a legnépszerűbb androidos és iOS-alkalmazásokról, illetve elsősorban arról, hogy melyikük ad ki rólunk személyes információt egy harmadik félnek.

A kutatásban 110 alkalmazás webforgalmát mérték, melyek fele androidos, fele iOS-es volt. Az alkalmazások között a Google Play áruház Üzleti, Játék, Egészség & Fitnesz valamint Utazás kategóriáinak, valamint az Apple App Store Üzleti, Játék, Egészség & Fitnesz, illetve Navigáció kategóriáinak legnépszerűbbjei szerepeltek, így olyanokat teszteltek, mint a Candy Crush, a Facebook Messenger, a Facebook Oldalak, Skype, Fitbit, Amazon, eBay, Groupon, Instagram, Pinterest, Snapchat, MapQuest, Google Maps, YouTube és Yelp.

A kutatók a HTTP és HTTPS (web) forgalmat vizsgálták az alkalmazások használata közben, különös figyelmet szentelve az olyan csomagoknak, amelyek személyes (akár azonosításra is szolgáló) információt, viselkedési adatokat (mint például keresések) vagy helyadatokat hordoztak. A kutatók arra jutottak, hogy az Android felhasználói ilyen tekintetben különösen ki vannak téve az adatszivárgásnak, míg az iOS sem mondható hermetikusan zártnak ilyen tekintetben. A "Kit tud mit rólam?" tanulmányukban feltüntették, hogy a vizsgált androidos alkalmazások 73%-a juttat el személyes adatokat (mint például e-mail címet) harmadik félnek, míg az iOS alkalmazások 47%-a ad ki helyinformációkat (geo-koordinátákat és egyéb helyadatokat) másoknak.

Androidon találtak egy meglepő csatlakozást, amit 55-ből 51 esetben észrevettek, ami egy safemovedm(pont)com szerverre mutat. A mérésből ezt végül kizárták, ugyanis akkor is feltűnt ez a domain név a naplóban, amikor nem használtak alkalmazást - így arra jutottak, hogy "bizonyára a rendszer valamelyik háttérfolyamatának van rá szüksége". A Google nem mond semmit arról, hogy mi ez az oldal és mi szerepe van. Ahogy a kutatók fogalmaztak:
Ennek a domain kapcsolatnak a célja egyelőre tisztázatlan; azonban az, hogy mindenütt feltűnik, nagyon is érdekes. Amikor a készüléket alkalmazások megnyitása nélkül használtuk, akkor is feltűnt a naplóinkban.

Elképzelhető, hogy az Android operációs rendszer csatlakozik a háttérben ehhez a szerverhez, így figyelmen kívül hagytuk a vizsgálatok során, hogy nehogy véletlenül a tesztelt alkalmazásokhoz kössük. Az safemovedm.com-ra küldött adatok relatív üressége egy HTTP-n kívüli kapcsolatra is utalhat, amit a mitmproxy nem rögzít.
Az is kiderült a felmérésből, hogy az alkalmazások nagy része a felhasználói által bevitt adatokkal (input) kapcsolatos információkat is megoszt - ide tartoznak a személyes adatok vagy keresési kifejezések. Ezekben az esetekben sem Androidon, sem iOS-en nem kapunk erről értesítést. Néhány további érdekesség:

Egy átlagos Android alkalmazás 3,1 külső félhez tartozó szerverre küld potenciálisan személyes információkat tartalmazó adatokat, míg iOS-en ez a szám 2,6.
Az Android-alkalmazások esetében sokkal valószínűbb, hogy potenciálisan személyes információkat küldenek ki, mint pl. neveket (73% Androidon, míg 16% iOS-en) és e-mail címet (úgyszintén 73%, illetve 16%)
Több iOS alkalmazás oszt meg helyinformációkat külső felekkel, mint Android alkalmazás (47%, illetve 33%)
A legtöbb külső fél, akik ilyen csomagokat kapnak: google.com (alkalmazások 36%-a), googleapis.com (18%), apple.com (17%) és a facebook.com (14%).

Felmerülhet a kérdés, hogy egyáltalán miért érdemes ezzel foglalkozni. A kutatók erre is válaszoltak:
Az alkalmazások akár egy egyedi azonosítót (ID-t) is kiadhatnak, ami az eszközre vonatkozik, mint a rendszerazonosító, SIM kártya azonosítója, IMEI, MEID, MAC cím, UDID stb. Az azonosító felhasználható egy személy követésére. Másodsorban, az alkalmazás kérhet engedélyt az eszköz funkcióinak vagy esetlegesen személyes vagy szenzitív adatok eléréshez. A leggyakoribb engedélykérések a hálózati kommunikációra, adattárolása, telefonhívásokra, helyadatokra, hardverirányításra, rendszereszközökre, névjegyekre, valamint fényképekre és videókra vonatkoznak.

Néhány alkalmazás "túlzott engedélykérést" is gyakorol, amikor is több adat eléréséhez kér engedélyt, mint amennyire szükség van. Ez reklámszolgáltatásra és adatgyűjtésre kell. Harmadsorban, bármilyen adatot, amit begyűjtött az alkalmazás, elküldheti egy harmadik félnek, mint például egy reklámszolgáltatónak. Negyedszer, a felhasználónak nehézséget okozhat a sok engedélykérelmi képernyő és más, személyes adatok védelmét szolgáló rendszereszköznek a megértése.
Ez persze mind a szélsőséges eseteket említi, de számolnunk kell azzal, hogy adatainkat nem feltétlenül csak azok kapják meg, akikről mi tudunk. Azzal azonban mégis tisztában kell lennünk, hogy bármilyen online szolgáltatást veszünk igénybe, az nagy valószínűséggel személyes információkat fog gyűjteni rólunk, hogy személyre szabott tartalmat tudjon nekünk nyújtani és az adatok felhasználásával jobbá tehesse a fenntartó a szolgáltatást. A Google is minden egyes keresésünk, sőt, a legtöbb kattintásunk során ezt teszi, mi ezt mégis elfogadjuk. Ugyanilyen téma kapcsán robbant ki nemrégiben botrány a Windows 10 körül, miszerint adatokat gyűjt rólunk, de az sem azért történt, hogy majd másoknak eladja a Microsoft. A mobilalkalmazások esetében is a Google, az Apple, illetve a Facebook szerverei kapcsán láthattuk a legtöbb kapcsolatot, ami nem feltétlenül jelenti azt, hogy rossz kezekbe kerülnek adataink.

Forrás: Sophos NakedSecurity / "Who Knows What About Me?" tanulmány
nincs még hozzászólás

új kommentek

legutóbbi hozzászólások
 

Közösségi felületeink