Video: Easily Manage App Permissions on Android 6.0 and above (Listopad 2024)
Když stahujeme aplikace z aplikací Apple App Store a Google Play, vzdáváme se poměrně velké bezpečnosti a soukromí. Zřídka přestáváme kontrolovat, co aplikace dělají na našich zařízeních a s našimi údaji, a zapomínáme, že vývojáři při vytváření aplikace nedávají přednost soukromí uživatelů.
„Věc, o které si nemyslím, že si lidé uvědomují, že nejsme zákazníkem těchto bezplatných aplikací. Inzerenti jsou, “ řekl Michael Sutton, viceprezident bezpečnostního výzkumu společnosti Zscaler, pro bezpečnostní sledování.
Vývojáři přemýšlejí o tom, co inzerenti při vytváření těchto aplikací chtějí, a to jsou informace o uživatelích a schopnost sledovat aktivitu uživatelů, řekl Sutton. Takže pokud jde o oprávnění k aplikaci, vývojářům nic nebrání v tom, aby žádali více, než potřebují. Většina lidí nečte seznam oprávnění dříve, než je všechny přijme k instalaci aplikace, a lidé si obecně nestěžují, pokud se zdá, že aplikace požaduje příliš mnoho. Existují případy, kdy vývojáři požadují povolení bez ohledu na to, zda je skutečně potřebují.
Ve skutečnosti „není pro ně odrazující, zejména pokud jde o Android v domě, “ řekl Sutton.
ZScaler Research Findings
Vědci z Zscaler ThreatLabz analyzovali 550 aplikací pro iOS a 75 000 aplikací pro Android, aby pochopili, jak dva mobilní operační systémy přistupují k soukromí a bezpečnosti. Ve své statické analýze tým hledal skutečné případy v kódu, kde byly vyvolány funkce vyžadující specifické úrovně přístupu. Tímto způsobem mohli ověřit, že funkce skutečně používá povolení, o které požádala.
Zjištění jsou do hloubky a fascinující, například skutečnost, že více než 60 procent aplikací pro iOS v kategorii „Hry a zábava“ požaduje povolení k telefonním funkcím a geografickému umístění. Zscaler označil tento nález za „znepokojující“ a poznamenal, že v poslední době se objevují zprávy o aplikacích špehujících aktivitu uživatelů. Toto číslo je vyšší u aplikací životního stylu, přičemž 81 procent požaduje funkčnost. Celkem 34 procent aplikací pro iOS požádalo o povolení přístupu k adresáři, 83 procent požádalo o přístup k e-mailu a 46 procent si mohlo přečíst kalendář uživatele.
„U 97 procent aplikací využívajících alespoň jednu sledovanou funkci (adresář, telefonování, umístění, e-mailový kalendář nebo UUID), jak je uvedeno, jsme spotřebováváni tolik, ne-li více, než konzumujeme, “ napsal Zscaler blog.
Na straně Android Zscaler zjistil, že 68 procent aplikací, které požadují oprávnění k SMS, žádá o schopnost odesílat SMS zprávy. To je něco, čeho se obávat, vzhledem k popularitě SMS podvodů a podvodů s podvody uživatelů do odesílání zpráv na prémiové číslo. Dalších 28 procent aplikací s oprávněními SMS také požaduje schopnost číst zprávy SMS. Toto je také další oblast zájmu, když vezmete v úvahu počet stránek mobilního bankovnictví a dalších služeb, které odesílají kódy prostřednictvím SMS pro dvoufaktorovou autentizaci nebo pro potvrzení konkrétních transakcí. „To je velmi riskantní povolení udělit aplikaci, “ řekl Sutton a poznamenal, že Apple toto povolení ani neuděluje.
Dobrá věc je, že v současné době méně než 10 procent aplikací v současné době požaduje povolení SMS. Ale přesto.
Z analyzovaných aplikací pro Android Zscaler zjistil, že 36 procent požádalo o informace o poloze a 46 procent požádalo o státní povolení telefonu, což umožňuje aplikacím získat přístup k informacím o SIM kartě a jedinečnému identifikátoru IMEI v telefonu.
"Je to křehká rovnováha mezi tím, co jsme ochotni vzdát výměnou za bezplatnou aplikaci, " řekl Sutton.
Android vystavuje uživatele více rizikům
Největším problémem, pokud jde o Sutton, byla skutečnost, že Android nedával uživatelům žádnou kontrolu nad tím, jaká oprávnění mohou mít aplikace. „Nejsem fanouškem modelu all-or-none v Androidu, “ řekl Sutton a označil ho za „nebezpečný“.
Je to trochu smutné, protože Android ve skutečnosti jde dále než iOS, protože vývojářům poskytuje velmi podrobnou úroveň kontroly. Tato úroveň kontroly se však nepřenáší do samotné aplikace, protože pokud se uživateli nelíbí konkrétní povolení, které aplikace požaduje, nemůže ji nainstalovat. Apple na druhou stranu nainstaluje aplikaci pro iOS a poté, když je nutná určitá funkce, vyzve uživatele k povolení.
„To je jedna věc, kterou Apple dělá lépe, “ řekl Sutton. Řekl, že „lepší přístup“ k povolením podle modelu iOS dělá lepší ochranu spotřebitelů.
Apple také bojoval, aby zabránil vývojářům sledovat zařízení, řekl Sutton. Vývojáři měli původně dotaz na jedinečné UDID zařízení, které mohli inzerenti použít k vytváření profilů a porozumět tomu, jaké aplikace uživatelé používali. Přestože Apple zakázal použití UDID, Zscaler zjistil, že 38 procent aplikací pro iOS ve své analýze stále mělo přístup. Apple také vývojářům zakázal sledovat MAC adresy. UUID je upřednostňovaným přístupem, protože se jedná o jedinečnou hodnotu generovanou pro aplikaci a zařízení, která inzerentům brání sledovat uživatele v aplikacích.
Apple „opravdu bojoval, aby zabránil vývojářům sledovat zařízení“, řekl Sutton. "Google v této oblasti neudělal nic."
