Video: iOS vs ANDROID / If Objects Were People! (Decembris 2024)
Mēs atsakāmies no diezgan daudz drošības un privātuma, kad lejupielādējam lietotnes no Apple App Store un Google Play. Mēs reti pārstājam pārbaudīt to, ko lietotnes dara mūsu ierīcēs un ar mūsu datiem, un aizmirstam, ka izstrādājot lietotni, izstrādātāji par prioritāti nenosaka lietotāju privātumu.
"Lieta, ka es nedomāju, ka cilvēki saprot, ka mēs neesam šo bezmaksas lietotņu klienti. Reklāmdevēji ir, " aģentūrai Security Watch sacīja Zscaler drošības pētījumu viceprezidents Maikls Suttons.
Izstrādātāji domā par to, ko reklāmdevēji vēlas, veidojot šīs lietotnes, un tā ir informācija par lietotājiem un spēja izsekot lietotāju darbībām, sacīja Suttons. Tātad, runājot par lietotņu atļaujām, nekas neliedz izstrādātājiem pieprasīt vairāk, nekā viņiem nepieciešams. Lielākā daļa cilvēku neizlasa atļauju sarakstu, pirms nav pieņēmis tos visus lietotnes instalēšanai, un parasti cilvēki nesūdzas, ja šķiet, ka lietotne prasa pārāk daudz. Ir gadījumi, kad izstrādātāji pieprasa atļaujas neatkarīgi no tā, vai viņiem tās tiešām ir vajadzīgas.
Patiesībā nav "tāda, ka viņi to nemudina, it īpaši mājas Android pusē", sacīja Suttons.
ZScaler pētījumu rezultāti
Zscaler ThreatLabz pētnieki analizēja 550 iOS lietotnes un 75 000 Android lietotnes, lai saprastu, kā abas mobilās operētājsistēmas pieiet privātumam un drošībai. Statiskajā analīzē komanda meklēja faktiskos gadījumus kodā, kur tika izsauktas funkcijas, kurām nepieciešams īpašs piekļuves līmenis. Tādā veidā viņi varēja pārbaudīt, vai funkcija faktiski izmanto atļauju, ko tā bija lūgusi.
Secinājumi ir diezgan padziļināti un aizraujoši, piemēram, tas, ka vairāk nekā 60 procenti iOS lietotņu kategorijā “Spēle un izklaide” pieprasa atļauju telefonijas funkcijām un ģeogrāfiskajai atrašanās vietai. Zscaler šo atziņu sauca par satraucošu, atzīmējot, ka nesen ir saņemti ziņojumi par lietotņu izspiegošanu par lietotāju darbībām. Dzīvesveida lietotnēm šis skaitlis ir lielāks, un funkcionalitāti pieprasa 81 procents. Kopumā 34 procenti iOS lietotņu lūdza atļauju piekļūt adrešu grāmatai, 83 procenti pieprasīja piekļuvi e-pastam un 46 procenti varēja lasīt lietotāja kalendāru.
"Tā kā 97 procenti lietotņu izmanto vismaz vienu no izsekotajām funkcijām (adrešu grāmatu, telefoniju, atrašanās vietu, e-pasta kalendāru vai UUID), kā minēts, mēs patērējam tikpat daudz, ja ne vairāk, nekā patērējam, " rakstīja Zscaler. emuārs.
Android pusē Zscaler atklāja, ka 68 procenti lietotņu, kas pieprasa īsziņu atļaujas, lūdz iespēju nosūtīt īsziņas. Tas ir kaut kas, par ko jāuztraucas, ņemot vērā krāpšanās ar īsziņām popularitāti un surogātpastu, vilinot lietotājus sūtīt ziņojumus uz premium numuriem. Vēl 28 procenti lietotņu ar SMS atļaujām arī pieprasa iespēju lasīt īsziņas. Šī ir arī vēl viena problēma, ja ņem vērā mobilo banku vietņu un citu pakalpojumu skaitu, kas sūta kodus ar īsziņu divu faktoru autentifikācijai vai noteiktu darījumu apstiprināšanai. "Tā ir ļoti riskanta atļauja lietotnes piešķiršanai, " sacīja Sūtons, atzīmējot, ka Apple pat šo atļauju nepiešķir.
Labi ir tas, ka šobrīd mazāk nekā 10 procenti lietotņu prasa īsziņu atļaujas. Bet tāpat.
No analizētajām Android lietotnēm Zscaler atklāja, ka 36 procenti pieprasīja informāciju par atrašanās vietu un 46 procenti lūdza tālruņa valsts atļauju, kas ļauj lietotnēm piekļūt SIM kartes informācijai un tālruņa unikālajam IMEI identifikatoram.
"Tas ir delikāts līdzsvars starp to, ko mēs esam gatavi atdot apmaiņā pret bezmaksas lietojumprogrammu, " sacīja Suttons.
Android pakļauj lietotājus lielākam riskam
Lielākā problēma, kas attiecas uz Suttonu, bija fakts, ka Android nesniedza lietotājiem nekādu kontroli pār to, kādas atļaujas lietotnēm varētu būt. "Es neesmu visu, kas ir Android, ventilators, " sacīja Suttons, nosaucot to par "bīstamu".
Tas ir mazliet skumji, jo Android faktiski sniedzas tālāk nekā iOS, izstrādātājiem nodrošinot ļoti detalizētu vadības līmeni. Tomēr šis kontroles līmenis neattiecas uz pašu lietotni, jo, ja lietotājam nepatīk konkrēta atļauja, ko lietotne pieprasa, tad lietotājs nevar instalēt lietotni. No otras puses, Apple instalē iOS lietotni un tad, kad ir nepieciešama īpaša funkcionalitāte, liek lietotājam atļauju.
"Tā ir viena lieta, ko Apple dara labāk, " sacīja Suttons. Viņš sacīja, ka "augstāka pieeja" atļaujām saskaņā ar iOS modeli nodrošina labāku darbu, aizsargājot patērētājus.
Apple ir arī cīnījies, lai neļautu izstrādātājiem izsekot ierīcēm, sacīja Suttons. Sākotnēji izstrādātājiem bija atļauts meklēt ierīces unikālo UDID, kuru reklāmdevēji varēja izmantot, lai izveidotu profilus un saprastu, kādas lietotnes lietotāji izmanto. Kaut arī Apple ir aizliedzis UDID izmantošanu, Zscaler atklāja, ka 38 procentiem iOS lietotņu tās analīzē joprojām ir piekļuve. Apple ir arī aizliegusi izstrādātājiem izsekot MAC adresēm. UUID ir vēlamā pieeja, jo tā ir unikāla vērtība, kas ģenerēta vienai lietotnei un ierīcei, neļaujot reklāmdevējiem izsekot lietotājiem dažādās lietotnēs.
Apple ir "patiešām cīnījies cīņā, lai neļautu izstrādātājiem izsekot ierīcēm", sacīja Suttons. "Google nav izdarījusi neko šajā jomā."
