וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
ייתכן שיישומי מימון ויישומי מימון קשורים לאנדרואיד ו- iOS אוספים ומשתפים נתוני משתמשים ללא צורך. האם יש לך אחת מהיישומים האלה במכשיר הנייד שלך?
דומינגו גרה, נשיא ומייסד חברת Appthority, אמר ל- Appthority מספר אפליקציות לניהול כספי למיסים עבור מכשירי אנדרואיד ו- iOS וזיהו קומץ התנהגויות מסוכנות, כולל מעקב אחר מיקום המשתמשים, גישה לרשימת אנשי הקשר ושיתוף נתוני משתמשים עם צדדים שלישיים.
נמצא כי הרבה מהאפליקציות משדרות נתוני משתמש כמו מיקום ומידע אנשי קשר שנשלח מפנקס הכתובות לרשתות מודעות של צד שלישי, כך נמצא Appthority. רוב התקשורת עם רשתות המודעות הייתה בטקסט ברור. אמנם היה הגיוני שלאפליקציית H&R Block הייתה גישה למיקום המשתמש, מכיוון שהאפליקציה מאפשרת למשתמשים למצוא את חזית החנות הקרובה ביותר, היה זה "לא כל כך ברור מדוע" היישומים שנותרו זקוקים למידע זה.
"השאר פשוט חולקים את המיקום הזה עם רשתות מודעות, " אמרה גררה.
רשימת האפליקציות כללה "אפליקציות מיסוי גדול לשמות וכמה חדשים חדשים קטנים יותר" כמו H&R Block TaxPrep 1040EZ ואפליקציות ה- H&R Block המלאות, TaxCaster והחזר המס שלי מ- Intuit (החברה שמאחורי TurboTax), מחשבון מס הכנסה 2012 ממפתח בשם "SydneyITGuy, והמיסים הפדרליים 1040EZ מ- RazRon", אמרה גררה. Appthority ביצעה את הניתוח שלה באמצעות שירות ניהול סיכונים אוטומטי של אפליקציות סלולריות משלה.
קידוד חלש ללא
לאפליקציות בדרך כלל היה הצפנה חלשה ובחרו להגן באופן סלקטיבי על חלק מתעבורת הנתונים, בניגוד להצפנת כל התעבורה, כך מצא Appthority. כמה מהיישומים - גררה לא ציין אילו מהם - השתמשו בצפני הצפנה צפויים במקום למנף רנדומלי הצפנה. האפליקציות "ללא שם", כמו זו של RazRon, כלל לא השתמשו בהצפנה.
אחד מיישומי השם הגדול כלל נתיבי קבצים לקוד המקור במידע הבאגים שלו בתוך ההפעלה. נתוני הקובץ כוללים לעתים קרובות שמות משתמש ומידע אחר שניתן להשתמש בהם כדי למקד למפתח או לחברה של האפליקציות, אמר Appthority. שוב, גררה לא זיהתה את האפליקציה בשמה.
אמנם "בדרך כלל זה אינו מהווה סיכון מרכזי להדלפת מידע זה, " "יש להימנע ממנו במידת האפשר, " אמרה גררה.
חשיפת נתונים
חלק מהאפליקציות הציעו תכונה בה המשתמש יכול לצלם את ה- W2, ואז התמונה נשמרה ב"גליל המצלמה "של המכשיר, נמצא Appthority. זה יכול להיות נושא רציני עבור משתמשים שמעלים או מסתנכרנים אוטומטית עם שירותי ענן כמו iCloud או Google+ ככל שהתמונה נשמרת במיקומים חסרי ביטחון ונחשפת.
גם גרסאות iOS וגם אנדרואיד של אפליקציית H&R Block 1040EZ השתמשו ברשתות מודעות כמו AdMob, JumpTab ו- TapJoyAds, אך הגרסה המלאה של אפליקציית H&R Block אינה מציגה מודעות, כך ציינה Appthority.
iOS לעומת אנדרואיד
לא היו הבדלים רבים בסוגי ההתנהגויות המסוכנות בין גרסאות iOS ואנדרואיד של אותה אפליקציה, אמרה גררה. מרבית ההבדלים הצטמצמו באופן שבו מערכת ההפעלה מטפלת בהרשאות. אנדרואיד דורשת מהאפליקציה להציג את כל ההרשאות לפני שהמשתמש יוכל להתקין ולהפעיל את האפליקציה בגישה של הכל או כלום. לעומת זאת iOS מבקש אישור כאשר המצב עולה. לדוגמה, ליישום iOS לא תהיה גישה למיקום המשתמש עד שהמשתמש ינסה להשתמש בתכונה של איתור החנות.
על פי הכללים האחרונים, iOS 6 אוסר על מפתחי אפליקציות לעקוב אחר משתמשים בהתבסס על מזהה המכשיר שלהם ומספרי UDID או EMEI. תרגול זה עדיין נפוץ בקרב אפליקציות אנדרואיד. גרסת iOS של אפליקציית H&R Block 1040EZ אינה עוקבת אחר המשתמש, אך גרסת אנדרואיד של אותה אפליקציה עושה זאת באמצעות איסוף מזהה המכשירים הניידים, מידע על בניית פלטפורמות סלולריות ומידע על גרסאות, ומזהה המנוי של המכשיר הנייד, כך אמרה גרע.
אפליקציית ה- H&R חסום המלאה בבקשות אנדרואיד והיא יכולה לגשת לרשימה של כל היישומים האחרים המותקנים במכשיר. לגרסת iOS של האפליקציה אין גישה למידע זה מכיוון שמערכת ההפעלה אינה מאפשרת זאת.
מסוכן או לא?
אין שום דבר מסוכן במיוחד בנקודה זו, אפליקציות אלה אינן משדרות סיסמאות ורישומים פיננסיים בטקסט ברור. עם זאת, עובדה שנותרה כי אפליקציות משתפות נתוני משתמש שלא לצורך. למעט אפליקציה אחת, אף אחת מהאפליקציות האחרות לא הציעה תכונה של איתור חנויות. מדוע, אם כן, היישומים האחרים הללו זקוקים לגישה למיקום המשתמש? מדוע היישומים האלו זקוקים לגישה לאנשי הקשר של המשתמש? זה לא נראה הכרחי להכנת מיסים.
ג'וררה אמרה באורתוריטי כמה אפליקציות ישנות "כדי להוכיח נקודה". לרבים מהיישומים הללו יש תאריך תפוגה - כגון אפליקציות מס לשנת 2012 - בהן משתמשים צפויים לא להשתמש בהם עוד לאחר שיסיימו להשתמש בהם.
לעתים קרובות "אפליקציות חד פעמיות" אלה נמשכות מהשוק, והמשתמשים צריכים להיות מודעים לכך שליישומים אלה יש גישה לנתונים במכשירי המשתמש.
