Tanulmány: A mobiltelefon-alkalmazások a szükségesnél többet látnak a magánadatoknál

A mobiltelefon-alkalmazások hozzáférnek a felhasználók személyes adataihoz, és sokkal többet továbbítanak a távoli szerverek felé mint amennyire feltétlenül szükségesnek tűnik, míg a felhasználóknak nincs megfelelő eszköze az ilyen hozzáférés felügyeletére vagy ellenőrzésére, egy új tanulmány szerint két francia kormányhivatal.

A francia számítástechnikai és szabadságügyi bizottság (CNIL) 189 alkalmazással hat Az iPhone készülékek monitorozó szoftverrel és elemzési eszközökkel vannak felszerelve, amelyeket a Francia Tudományos Számítógép-tudományi és Ellenőrzési Intézet (INRIA) fejlesztett ki. A cél az volt, hogy javítsák az általános alkalmazás megértését az alkalmazások magánadat-felhasználásának módjáról, nem pedig arra, hogy az ujjakat az egyes fejlesztőkre mutassák, a CNIL elnöke, Isabelle Falque-Pierrotin kedden kedden tájékoztatta a kutatást.

a CNIL valóságos megközelítést alkalmazott, amelyben hat önkéntes megkérdezte a saját SIM-kártyáikat a telefonokba, és október közepéig és január közepéig használja őket. Egy önkéntes csaknem 100 alkalmazást töltött le, és az ötet csak az Apple telepítette.

[További olvasmány: A legjobb Android-telefon minden költségkerethez.]

Az alkalmazások egyike 12-ből érkezett a címjegyzékbe, és csaknem minden harmadik hozzáférési helyre vonatkozó információt. Átlagosan a felhasználók naponta 76-szor nyomon követették helyüket a vizsgálat során. A Foursquare és az Apple saját Térképe alkalmazásai a leggyakrabban - pontosabban a céljuk miatt - érthetőek voltak a helyadatokkal kapcsolatban - az AroundMe és az Apple Camera alkalmazás közelről mögött.

Az iPhone nevét egy alkalmazással hat nyelven érte el, ami a kutatók számára megmagyarázhatatlan szinte semmilyen célra és messze nem egy egyedi azonosítótól, bár mivel gyakran tartalmazza a felhasználó nevét, személyesen azonosítható információknak tekinthető.

A Facebook alkalmazása nyilvánvalóan kevés kísérletet tett az ilyen személyes adatokhoz való hozzáférésre -, de aztán a kutatók szerint, a felhasználóknak már annyit kell mondaniuk.

A két francia kormányhivatal, a CNIL és az INRIA kutatói szeretnék az Apple iOS további felhasználóinak ellenőrizni, hogy az alkalmazások milyen módon férhetnek hozzá személyes adataikhoz, lehetővé téve számukra, hogy felülvizsgálja és megváltoztatja a hozzáférést bármikor.

A tanulmányban a leginkább megközelített adatok az iPhone Universal Device Identifier (UDID), a sorozatszám állandó egy bizonyos telefonhoz társítva. Az alkalmazások majdnem fele elérte azt, és egy-három hivatalosan elküldte az interneten keresztül titkosítatlanul. A napi újság alkalmazásával az UDID 1,989 alkalommal jutott el a tanulmány során, és elküldte 614 alkalommal a kiadójának.

A CNIL szóvivője, Stéphane Petitcolas bemutatta, hogy a felhasználók új szabályozási eszközzel visszaszerezhetik az irányítást, hogy korlátozzák az alkalmazások hozzáférését mindenféle privát mivel az Apple lehetővé teszi a felhasználók számára a helyadatokhoz való hozzáférést. Az Apple még nem látta az eszközt, de az INRIA megfontolta a kód megosztását, ha a vállalat érdekelt, mondja Claude Castelluccia, a kutatócsoport igazgatója.

Az iPhone alkalmazói vásárlóknak nincs ötlete, hogy milyen információkkal vagy funkcióikkal férnek hozzá az alkalmazások. A Google Play Áruház megmutatja, hogy milyen alkalmazások és alkalmazások férnek hozzá, de a választás minden, vagy semmi. A BlackBerry OS korábbi verziói nagyobb szabadságot adtak a felhasználóknak arra, hogy kiválasszák, mely API-k (alkalmazásprogramozási felületek) teszik lehetővé az alkalmazások hozzáférését az alkalmazás megszakításának kockázatához, de a BlackBerry 10-ben a granuláris vezérlés csak natív alkalmazások esetén érhető el: Az Android-alkalmazások esetében a választás ismét elveszi, vagy elhagyja.

Az Apple bonyolult lépéseket tesz annak érdekében, hogy a felhasználók ilyen irányítást kapjanak. Az iOS 5-ben megakadályozhatják az egyes alkalmazások számára, hogy hozzáférjenek a helyükhöz, és az iOS 6-ban egy másik lehetőséggel rendelkeznek, mivel az Apple arra törekszik, hogy az UDID-t használja a felhasználók azonosítására és a célzott hirdetésekre.Ehelyett az Apple azt szeretné, ha a fejlesztők az iOS 6-ban bevezetett hirdetési azonosítót szeretnék használni. Ez nem állandó kapcsolatban van egy telefonnal vagy egy személyrel, és azok a felhasználók, akik nem szeretnének nyomon követni, bármikor megváltoztathatják, ha úgy gondolják nézd meg a Beállítások / Általános / Rólunk / Reklámot ahelyett, hogy a legnyilvánvalóbb Beállítások / Adatvédelem.

Ez a lehetőség nem volt elérhető a CNIL-INRIA tanulmány résztvevői számára, amely technikai okokból az iOS 5 alkalmazásával készült. A kutatás következő fázisa az iOS 6-ot fogja használni, mostantól kezdve az INRIA frissítette az alkalmazást az új verzió használatára.

Az INRIA-nak az alkalmazások személyes adatokhoz való hozzáférésének monitorozásához az iPhone-t börtönbe kellett bocsátania, és egy speciális alkalmazást telepítenie kellett ahhoz, hogy az Apple API-k, amelyeken keresztül az alkalmazások hozzáférést kérnek a személyes adatokhoz, mondta Vincent Roca INRIA kutató. A kutatók úgy döntöttek, hogy iPhone-ra dolgoznak, mert már tapasztalataik vannak az iOS fejlesztésében. Most fejlesztenek egy alkalmazást, amely hasonló funkciókkal rendelkezik az Android telefonok számára, amelyeket gyökerre kell telepíteni annak telepítése érdekében.

Az INRIA megfigyelő alkalmazás minden lehallgatott kérést rögzített a telefonon egy adatbázisban, a kért privát információkkal együtt. azonosítani tudta a kimenő hálózati forgalomban. Az iOS 5 alkalmazás csak a titkosítatlan hálózati forgalmat figyelhette meg, de az iOS 6 verziója most már a forgalom titkosítása előtt felhúzza a hálózati API-kat.

Az alkalmazás továbbította a lehallgatott kéréseket egy központi kiszolgálónak a vizsgálat számára - a kutatók kiemelték:

Az INRIA és a CNIL csak most kezdte elemezni a hat iPhone-ból összegyűjtött adatokat: 9 gigabájt, amely 7 millió adatvédelmet tartalmaz események a három hónapos időszak alatt.

Egy dolog, amit a tanulmány már kiderített, hogy bizonyos személyes adatokhoz való hozzáférés véletlen. A legközelebbi párizsi úszómedence (a város 38 km-es körzetében, körülbelül 5 km-es körzetben) azonosítására alkalmas alkalmazással sokkal többet keresnek a helymeghatározási információkhoz, mint a működéséhez szükségesnek látszó, nyilvánvalóan programozási hiba miatt. A CNIL Petitcolas azt mondta: