וִידֵאוֹ: Темы для iPhone на iOS 14 - простая установка оформления! Прозрачные виджеты и скрытые фишки (אוֹקְטוֹבֶּר 2024)
אנו מוותרים על די ביטחון ופרטיות כשאנחנו מורידים אפליקציות מחנות האפליקציות של אפל וגוגל פליי. לעיתים רחוקות אנו עוצרים לבחון מה האפליקציות עושות במכשירים שלנו ובנתונים שלנו, ושוכחים שהמפתחים אינם מתעדכנים בפרטיות המשתמשים בעת בניית האפליקציה.
"הדבר שאני לא חושב שאנשים מבינים שאנחנו לא הלקוח עבור האפליקציות החינמיות האלה. המפרסמים הם, " אמר מייקל סאטון, סמנכ"ל מחקר אבטחה של צסקלר, ל- Security Watch.
מפתחים חושבים מה המפרסמים רוצים בבניית האפליקציות הללו, וזה מידע על משתמשים ועל היכולת לעקוב אחר פעילות המשתמשים, אמר סאטון. אז כשמדובר בהרשאות אפליקציות, אין שום דבר שמונע מפתחים לבקש יותר ממה שהם צריכים. רוב האנשים לא קוראים את רשימת ההרשאות לפני שהם מקבלים את כולם להתקנת האפליקציה, ואנשים בדרך כלל לא מתלוננים אם נראה כי האפליקציה מבקשת יותר מדי. ישנם מקרים בהם המפתחים מבקשים הרשאות ללא קשר אם הם באמת זקוקים להם.
למעשה, אין "שום מניעה שהם לא יעשו זאת, במיוחד לא בצד האנדרואיד של הבית", אמר סאטון.
ממצאי מחקר של ZScaler
חוקרים מבית Zscaler ThreatLabz ניתחו 550 אפליקציות iOS ו- 75, 000 אפליקציות אנדרואיד כדי להבין כיצד שתי מערכות ההפעלה הסלולריות ניגשות לפרטיות ואבטחה. בניתוח הסטטי שלו, הצוות חיפש מקרים בפועל בקוד בו נקראו פונקציות הדורשות רמות גישה ספציפיות. בדרך זו הם יכלו לוודא שהפונקציה למעשה משתמשת בהרשאה שהיא ביקשה.
הממצאים די מעמיקים ומרתקים, כמו העובדה שיותר מ 60 אחוז מאפליקציות iOS בקטגוריית "משחק ובידור" מבקשים אישור לפונקציות טלפוניה ומיקום גיאוגרפי. Zscaler כינה את הממצא הזה "מטריד", וציין כי היו דיווחים אחרונים על אפליקציות שמרגלים על פעילות משתמשים. מספר זה גבוה יותר עבור אפליקציות Lifestyle, כאשר 81 אחוז מבקשים פונקציונליות. בסך הכל, 34 אחוזים מאפליקציות iOS ביקשו אישור לגישה לפנקס הכתובות, 83 אחוז ביקשו גישה לדוא"ל ו -46 אחוזים יכולים לקרוא את לוח השנה של המשתמש.
Zscaler כתב כי "עם 97 אחוז אפליקציות המשתמשות לפחות באחת מהפונקציונליות שעוקבות אחריהם (פנקס כתובות, טלפוניה, מיקום, לוח אימיילים או UUID), אנו צורכים כמה שיותר, אם לא יותר ממה שאנחנו צורכים". הבלוג.
בצד האנדרואיד, Zscaler מצא כי 68 אחוזים מהאפליקציות המבקשות הרשאות SMS מבקשות את היכולת לשלוח הודעות SMS. זה משהו שצריך לדאוג לו, בהתחשב בפופולריות של הונאת SMS וספאם שמעללים משתמשים בכדי לשלוח הודעות למספרי פרמיה. 28 אחוזים נוספים מהאפליקציות עם הרשאות SMS מבקשות גם אפשרות לקרוא הודעות SMS. זהו גם תחום נוסף של דאגה כשאתה מחשיב את מספר אתרי הבנקאות הסלולרית ושירותים אחרים ששולחים קודים באמצעות SMS לצורך אימות דו-גורמי או כדי לאשר עסקאות ספציפיות. "זו הרשאה מסוכנת מאוד להעניק אפליקציה, " אמר סאטון וציין שאפל אפילו לא מעניקה הרשאה זו.
הדבר הטוב הוא שכרגע פחות מעשרה אחוזים מהאפליקציות מבקשות כרגע הרשאות SMS. אבל עדיין.
מבין אפליקציות האנדרואיד שניתחו, Zscaler מצא כי 36 אחוזים ביקשו מידע על מיקום ו 46 אחוז ביקשו את אישור המדינה של הטלפון, מה שמאפשר לאפליקציות לגשת למידע על כרטיס ה- SIM ולמזהה IMEI הייחודי של הטלפון.
"זה איזון עדין בין מה שאנחנו מוכנים לוותר בתמורה לאפליקציה בחינם", אמר סאטון.
אנדרואיד חושפת את המשתמשים לסיכונים נוספים
הבעיה הגדולה ביותר, מבחינת סאטון, הייתה העובדה שאנדרואיד לא נתנה למשתמשים שום שליטה על אילו הרשאות יכולות להיות לאפליקציות. "אני לא חובב הדגם הכל-או-אף-אחד באנדרואיד", אמר סאטון וכינה אותו "מסוכן".
זה קצת עצוב, מכיוון ש- Android למעשה מרחיק לכת מאשר iOS בכך שהיא נותנת למפתחים רמות שליטה מאוד גרגניות. עם זאת, רמת שליטה זו אינה עוברת לאפליקציה עצמה, מכיוון שאם המשתמש לא אוהב הרשאה ספציפית שהאפליקציה מבקשת, המשתמש לא יכול להתקין את האפליקציה. לעומת זאת, אפל מתקינה את אפליקציית iOS ואז כאשר יש צורך בפונקציונליות ספציפית, תבקש מהמשתמש לקבל אישור.
"זה דבר אחד שאפל עושה טוב יותר, " אמר סאטון. הוא אמר כי "הגישה המעולה" להרשאות במודל iOS עושה עבודה טובה יותר בהגנה על הצרכנים.
אפל נלחמה גם כדי למנוע מפתחי מעקב אחר מכשירים, אמר סאטון. במקור הורשו למפתחים לבצע שאילתות ב- UDID הייחודי של המכשיר, בו המפרסמים יוכלו להשתמש כדי לבנות פרופילים ולהבין באיזה סוג אפליקציות משתמשים משתמשים. למרות שאפל אסרה על השימוש ב- UDID, Zscaler גילה כי 38 אחוז מאפליקציות iOS בניתוח שלה עדיין היו בעלות גישה. אפל גם אסרה על מפתחים לעקוב אחר כתובות MAC. ה- UUID הוא הגישה המועדפת שכן הוא ערך ייחודי שנוצר לכל אפליקציה ומכשיר, ומונע ממפרסמים לעקוב אחר משתמשים בכל אפליקציות.
אפל "ממש נלחמה בקרב כדי למנוע מפתחי מעקב אחר מכשירים", אמר סאטון. "גוגל לא עשתה דבר בתחום הזה."
