Video: Nejlepší aplikace s cheaty !easy! (Listopad 2024)
Některé daňové a související finanční aplikace pro Android a iOS mohou zbytečně shromažďovat a sdílet uživatelská data. Máte některou z těchto aplikací na svém mobilním zařízení?
Společnost Appthority analyzovala několik aplikací daňové správy pro zařízení Android a iOS a identifikovala několik rizikových chování, včetně sledování polohy uživatele, přístupu k seznamu kontaktů a sdílení uživatelských dat s třetími stranami. Domingo Guerra, prezident a zakladatel Appthority, řekl SecurityWatch.
Mnoho aplikací přenáší uživatelská data, například polohu, a kontaktní informace vytištěné z adresáře do reklamních sítí třetích stran. Nalezena appthority. Většina komunikace s reklamními sítěmi probíhala prostým textem. I když to dávalo smysl pro aplikaci H&R Block, aby měl přístup k poloze uživatele, protože aplikace umožňuje uživatelům najít nejbližší výkladní skříň, ale „není příliš jasné, proč“ zbývající aplikace tyto informace potřebovaly.
„Zbytek jen sdílí toto místo s reklamními sítěmi, “ řekl Guerra.
Seznam aplikací zahrnoval „aplikace s velkým jménem a některé menší nováčky“, jako je H&R Block TaxPrep 1040EZ a kompletní aplikace H&R Block, TaxCaster a My Tax Refund from Intuit (společnost za TurboTax), kalkulačka daně z příjmu 2012 od vývojáře s názvem SydneyITGuy a Federal Tax 1040EZ od RazRon, řekl Guerra. Appthority provedla svou analýzu pomocí vlastní automatizované služby pro správu rizik pro mobilní aplikace.
Slabé na žádné šifrování
Aplikace obecně měly slabé šifrování a rozhodly se selektivně chránit část datového provozu, na rozdíl od šifrování veškerého provozu, našla Appthority. Několik aplikací - Guerra nespecifikoval, které z nich - používalo předvídatelné šifrovací šifry místo využití šifrovacích randomizátorů. Aplikace bez názvu, jako je například aplikace od RazRon, šifrování vůbec nepoužívaly.
Jedna z aplikací s velkým názvem zahrnovala cesty ke zdrojovému kódu v jeho debugovacích informacích ve spustitelném souboru. Filepaths často obsahují uživatelská jména a další informace, které by mohly být použity k cílení na vývojáře aplikace nebo společnost, Appthority řekl. Guerra opět aplikaci neidentifikoval jménem.
I když „obecně není hlavním rizikem únik těchto informací“, „pokud je to možné, je třeba se jim vyhnout, “ řekl Guerra.
Vystavení dat
Některé z aplikací nabídly funkci, kde uživatel mohl vyfotit W2, a snímek byl poté uložen do „kamery fotoaparátu“, nalezena Appthority. To by mohl být vážný problém pro uživatele, kteří automaticky nahrávají nebo synchronizují s cloudovými službami, jako jsou iCloud nebo Google+, protože se tento obrázek uloží na nezabezpečená místa a potenciálně se zobrazí.
Verze iOS i Android aplikace H&R Block 1040EZ používaly reklamní sítě jako AdMob, JumpTab a TapJoyAds, ale plná verze aplikace H&R Block nezobrazuje reklamy, poznamenal Appthority.
iOS vs Android
Guerra řekl, že mezi typy rizikových chování mezi verzí iOS a Android téže aplikace nebylo mnoho rozdílů. Většina rozdílů se snížila na to, jak operační systém zpracovává oprávnění. Android vyžaduje, aby aplikace před instalací a spuštěním aplikace přístupem typu „vše nebo nic“ zobrazila všechna oprávnění. Naproti tomu iOS žádá o povolení, jakmile nastane situace. Například aplikace pro iOS nebude mít přístup k poloze uživatele, dokud se uživatel nepokusí použít funkci vyhledávače obchodu.
Podle nejnovějších pravidel zakazuje iOS 6 vývojářům aplikací sledovat uživatele na základě jejich ID zařízení a čísel UDID nebo EMEI. Tato praxe je stále běžná u aplikací pro Android. Verze iOS aplikace H&R Block 1040EZ nesleduje uživatele, ale verze téže aplikace pro Android se provádí shromažďováním ID mobilního zařízení, informací o sestavení a verzi mobilní platformy a ID předplatitele mobilního zařízení, uvedl Guerra.
Plná aplikace H&R Block na žádostech Android a má přístup k seznamu všech ostatních aplikací nainstalovaných v zařízení. Verze aplikace pro iOS nemá přístup k těmto informacím, protože to operační systém neumožňuje.
Riskantní nebo ne?
V tuto chvíli není nic zvláštního rizika. Tyto aplikace nepřenášejí hesla a finanční záznamy v čistém textu. Faktem však zůstává, že aplikace zbytečně sdílejí uživatelská data. S výjimkou jedné aplikace žádná z ostatních aplikací nenabízí funkci vyhledávače obchodů. Proč tedy tyto další aplikace potřebují přístup k poloze uživatele? Proč tyto aplikace potřebují přístup ke kontaktům uživatele? To se nezdá být nezbytné pro přípravu daní.
Appthority se podíval na některé staré aplikace „aby to dokázal, “ řekla Geurra. Mnoho z těchto aplikací má datum vypršení platnosti - například daňové aplikace pro rok 2012 - kde se od uživatelů očekává, že již nebudou používat po dokončení používání.
Tyto „jednorázové aplikace“ jsou z trhu jen zřídka stahovány a uživatelé by si měli být vědomi, že tyto aplikace mají přístup k datům na zařízeních uživatele.
