אפליקציית קופונים אנדרואיד מדליף את המידע האישי שלך לכולם

בדקנו בכמה אפליקציות לאנדרואיד שאוספות, על מנת לפרש את ג'ון הודגמן, יותר מידע ממה שהם דורשים. בדקנו גם בכמה אפליקציות המטפלות במידע זה בצורה לא טובה, ומאפשרות לחלץ אותו או ליירט אותו בקלות. השבוע, Appthority מראה לנו אפליקציה שעושה את שניהם, וגם מעבירה את המידע שלכם לכל שרת אחר שאליו הוא פנה.

אפליקציית הקופונים

Appthority הטה אותנו לאפליקציה בשם אפליקציית הקופונים הנמצאת כעת בגוגל פליי, וכוללת חבילת כלים שיחברו אתכם לעסקות על כל דבר, החל ממסעדות וכלה בגז. ואולם בניתוח שלהם, Appthority מצאה כי אפליקציית הקופונים "שולחת באופן רציף מידע פרטי דרך הרשת מבלי להגן עליו באמצעות הצפנה." זה כולל את מזהה המכשיר שלך או מספר IMEI, מספר הטלפון שלך, כתובת הדוא"ל שלך, המיקוד שלך והמיקום הגיאוגרפי המדויק של המכשיר שלך.

אפליקציות רבות אוספות מידע מסוג זה - חלק לצורך ניתוח משלהן וחלקן למכירה לרשתות מודעות של צד שלישי. לרוע המזל, אנדרואיד לא נותנת לך את היכולת לשלוט לאילו מידע שאפליקציות יכולות לגשת. יש רק אזהרת הרשאות יחידה לכל דבר או כלום כשאתה מוריד יישום לראשונה. לא להצפין את המידע מרכיב את הנושא, מכיוון שמישהו שמתנפנף ברשת יכול היה לגבור עליו במהלך התקפה של אדם באמצע.

למרבה הצער, זה לא האחרון בחטאי אפליקציית הקופונים. "הנתונים הפרטיים נשלחים לשרת שמשמש את האפליקציה, אך הם גם מדליפים את המידע הפרטי בשדה 'מפנה'", אמר Appthority, בהתייחס לשדה כותרת HTML עם איות שגוי שמזהה את כתובת דף האינטרנט שאתה נמצא כרגע. לדף האינטרנט שאליו אתה פונה.

נניח שאתה מחפש "בית מרקחת" ואפליקציית הקופונים משתמשת בתמונת כריכת ספרים מאמזון בתוצאות החיפוש. כאשר האפליקציה מתקשרת עם אמזון כדי לקבל תמונה זו, היא כללה הרבה מהמידע האישי שלך בהחלפה. להלן הדוגמה של Appthority, מודגשת להדגשה. שים לב שכתובת הדוא"ל ומספר הטלפון נראים בבירור.

לחץ לתמונה גדולה יותר

Appthority הוסיף, "אם האפליקציה הייתה מצפינה כראוי את הקישור לשרתים שלהם עם הנתונים הפרטיים (ssl), המפנה לא היה מוגדר או יישלח לאתרי אינטרנט חיצוניים." Appthority מציינת כי ייתכן שאפליקציית הקופונים מדליפה מידע זה לשרתים אחרים ללא ידיעה.

איך אתה יכול להישאר בטוח?

אפליקציית הקופונים מדגישה את אחת הבעיות הגדולות ביותר בתחום האבטחה לנייד: שמשתמש הקצה (אתה) לא תמיד יודע אילו פעילויות שעלולות להיות מסוכנות אפליקציה עשויה לבצע. אפילו אם תקרא את ההרשאות שביקשו אפליקציית הקופונים, לא תדע מדוע הוא קוצר מידע או שהנתונים שלך הודלפים לשרתים אחרים.

יתר על כן, המגבלות של אנדרואיד אינן מאפשרות לך לשלוט באילו אפליקציות יכולות לגשת למידע מסוים - כמו המיקום הנוכחי שלך. במקרה של אפליקציית הקופונים, המשמעות היא שפשוט השימוש בה, ואחרים עם בעיות דומות, מסכן את המידע שלך.

לפי שעה נראה כי יש להימנע מאפליקציית הקופונים עד שהמפתחים יתקנו את בעיות האבטחה הללו.