וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
יישומים ניידים רבים מגיעים עם שלל מודעות, יכולת להתחבר למדיה חברתית, או שניהם. אלה עשויים להיראות כתוספות לא מזיקות, המוצבות באפליקציה למטרות רווח עבור מפתח האפליקציה. עם זאת, יתכן ותכונות אלה יכולות לגשת למערכת ה- PII של המשתמש, או למידע המאפשר זיהוי אישי. היכולת של התוספות לגשת למידע רגיש היא מסוכנת לא רק מכיוון שהפונקציות שלה יכולות לאסוף מידע רגיש לאחר שהמשתמש מאשר את הרשאות האפליקציה, אלא ניתן גם לחשוף את המידע ללא ידיעת המשתמש.
מחקר שנערך על ידי Mojave Networks, סטארט-אפ לאבטחה טכנולוגית מבוסס בסן מטאו, קליפורניה, השתמש במעבדות האיום שלהם כדי לבדוק 11 מיליון כתובות אתרים ששולחות ומקבלות נתונים בלמעלה מ- 2000 אפליקציות שהותקנו על ידי לקוחותיה, כאשר המחקר מתמקד במשתמשים עסקיים. כתובות URL אלה הוכנסו אז לקטגוריות על סמך החיבור שלהן לאחת משלוש ספריות: רשתות מודעות, ממשקי API של מדיה חברתית או ממשקי API לניתוח. התוצאות הראו כי 78 אחוז מהאפליקציות שהורדו התחברו לאחת משלוש הקבוצות, מה שמביא את המשתמשים בסיכון לגישה לא ידועה למידע האישי שלהם או גרוע מכך - אובדן נתונים אישיים או עסקיים.
חוסר אחריות
מה שמדהים עוד יותר הוא כיצד ספריות אלה מיושמות. הם משמשים את היזם המקבל את הקוד מצד שלישי. קודים אלה משמשים בעיקר כדי לאסוף הכנסות ממודעות, לעקוב אחר סטטיסטיקות המשתמשים או להשתלב במדיה החברתית. בדו"ח צוין כי יש אלפי ספריות אלה זמינות, ולרוב, קודי צד ג 'אלה בדרך כלל אינם אוספים PII. עם זאת, לא על כולם ניתן לסמוך. ברוב המקרים היזם בדרך כלל יישם את הקוד תוך סקירה מועטה או ללא של מה שהוא מכיל, וישאיר לך את ההחלטה לסמוך באופן עיוור על שיקול דעתו של היזם ולהסתכן בסיכוי לאפשר לספריות אלה לגשת לנתונים שלך ללא ידיעתך.
כדי להחמיר את המצב, המשתמש מחויב במדיניות הספרייה הספציפית רק על ידי הורדה והתקנה של האפליקציה מבלי לראות את פרטי המדיניות. מבחינה עסקית הדבר יכול לגרום לחוסר אחריות ומקשה על מנהלי IT להחליט איזו אפליקציה מהווה סיכון אבטחה.
בממוצע, לכל אפליקציה יש כתשע הרשאות. חמישה כאלה נחשבים כמסוכנים מאוד מכיוון שהם יכולים לספק גישה למידע שאחרת יישמר פרטי. לדוגמה, Airpush, אחת מספריות המודעות המובילות במחקר, אוספת את הנתונים הבאים:
- מזהה אנדרואיד
- ייצור ומודל של מכשירים
- סוג וגרסת הדפדפן הנייד
- כתובת ה - IP
- מזהה שנוצר על ידי Airpush
- רשימת היישומים הניידים המותקנים בטלפון.
- "נתונים טכניים אחרים על המכשיר שלך."
אם אתה נותן לו אישור לעשות זאת, Airpush יכול גם לאסוף:
- מיקום גיאוגרפי מדויק כולל מדינה ומיקוד.
- מזהי התקנים כולל מספר IMEI (International Identity Equipment Mobile Identity), המספר הסידורי של המכשיר וכתובת בקרת הגישה למדיה (MAC).
- היסטוריית דפדפנים ועוד.
משתמשים יכולים לבטל את הסכמתם לחלק מאיסוף הנתונים, כמו רשימת היישומים הניידים המותקנים והיסטוריית הדפדפן.
אם תתקין אפליקציה המשתמשת ב- Airpush, היא יכולה לקבל גישה לכל המידע הזה ללא ידיעתך. החלק הגרוע ביותר הוא שהגישה הרחבה הזו למידע פרטי היא טיפוסית, ושום דבר חדש בשוק האפליקציות לנייד.
מניעת משתמשים
יש רק כל כך הרבה שהמשתמש יכול לעשות מבחינת הרשאה ודחיית הרשאות לכל אפליקציה, במיוחד אם הוא רוצה להשיג את מלוא הפוטנציאל של האפליקציה. למרבה המזל, ישנן שתי אפליקציות נהדרות העוסקות באיתור הפרצות אפשריות אלה.
אם Lookout קובע שרשת מודעות פועלת בעצמה, ללא הסכמת משתמש, היא מסווגת את הרשת ככלי פרסום. בנוסף היא מספקת מידע על תוכנות פרסום כולל זיהוי, תפקודו ופגיעה פוטנציאלית למשתמש. viaProtect הוא כלי נהדר נוסף, המספק גרף חזותי לאן נתוני המשתמש עוברים מבחינת רשת ומדינה וכמה מהם מוצפנים. זה מאפשר למשתמש לקבל החלטה מושכלת אם למחוק אפליקציות מסוימות שמסירות מידע רב מדי או לא.
ביטחון הוא בעל חשיבות עליונה בעידן הדיגיטלי. אפליקציות כמו Lookout ו- viaProtect מאפשרות למשתמשים לדעת אם הנתונים שלהם נמצאים בסיכון, אך עדיין קשה למנוע מהספריות גישה לגישה למסמך הפרטיות של המשתמש. לעת עתה, קריאת האותיות הקטנות וקבלת החלטה מושכלת היא הדרך הטובה ביותר להתנגד לגישה בלתי רצויה במכשיר נייד.
