Video: Mobilās lietotnes ļauj ērtāk sazināties ar glābšanas dienestiem (Decembris 2024)
Iespējams, ka dažās nodokļu un saistītās finanšu lietotnēs, kas paredzētas operētājsistēmām Android un iOS, nevajadzīgi tiek savākti un koplietoti lietotāju dati. Vai mobilajā ierīcē ir kāda no šīm lietotnēm?
Appthority analizēja vairākas nodokļu finanšu pārvaldības lietotnes Android un iOS ierīcēm un identificēja nedaudzu riskantu uzvedību, tostarp lietotāja atrašanās vietas izsekošanu, piekļuvi kontaktu sarakstam un lietotāju datu apmaiņu ar trešajām personām, portālam SecurityWatch pastāstīja Domingo Guerra, Appthority prezidents un dibinātājs.
Liela daļa lietotņu pārsūta lietotāju datus, piemēram, atrašanās vietu un kontaktinformāciju, kas iegūta no adrešu grāmatas, trešo personu reklāmas tīkliem, atzina Appthority. Lielākā daļa saziņas ar reklāmas tīkliem notika skaidrā tekstā. Lai gan H&R Block lietotnei bija loģika piekļūt lietotāja atrašanās vietai, jo šī lietotne ļauj lietotājiem atrast tuvāko veikala skatlogu, nebija “pārāk skaidrs, kāpēc” atlikušajām lietotnēm vajadzēja šo informāciju.
"Pārējie tikai dalās šajā atrašanās vietā ar reklāmas tīkliem, " sacīja Gērra.
Lietotņu sarakstā bija "lielo vārdu nodokļu lietotnes un daži mazāki jaunpienācēji", piemēram, H&R Block TaxPrep 1040EZ un pilnās H&R Block lietotnes, TaxCaster un My Tax Refund no Intuit (uzņēmums aiz TurboTax), Ienākuma nodokļa kalkulators 2012 no izstrādātāja nosaukta SydneyITGuy un Federālais nodoklis 1040EZ no RazRon, sacīja Gērra. Appthority savu analīzi veica, izmantojot savu automatizēto mobilo lietotņu riska pārvaldības pakalpojumu.
Vāja, lai šifrēšanas nebūtu
Lietotnēm parasti bija vāja šifrēšana, un tās izvēlējās selektīvi aizsargāt daļu datu trafika, nevis šifrēt visu trafiku, atklāja Appthority. Dažas no lietotnēm - Guerra nenorādīja, kuras no tām - izmantoja paredzamus šifrēšanas šifrus, nevis šifrēšanas nejaušinātājus. Lietotnes, kurām nav vārda, piemēram, RazRon, šifrēšanu vispār neizmantoja.
Vienā no lielo vārdu lietotnēm tās atkļūdošanas informācijā izpildāmajā failā bija ietverti ceļu ceļi uz avota kodu. Filepaths bieži satur lietotājvārdus un citu informāciju, ko varētu izmantot, lai mērķētu uz lietotņu izstrādātāju vai uzņēmumu, sacīja Appthority. Atkal Guerra neidentificēja lietotni pēc nosaukuma.
Lai arī "šīs informācijas noplūde parasti nav liels risks", "ja iespējams, no tās vajadzētu izvairīties, " sacīja Gērra.
Datu atklāšana
Dažas lietotnes piedāvāja funkciju, kurā lietotājs varēja nofotografēt W2, un attēls pēc tam tika saglabāts ierīces “kameras rullītī”, Appthority atrasts. Tā varētu būt nopietna problēma lietotājiem, kuri automātiski augšupielādē vai sinhronizē ar mākoņa pakalpojumiem, piemēram, iCloud vai Google+, jo šis attēls tiek saglabāts nedrošās vietās un potenciāli pakļauts.
Gan lietotnes H&R Block 1040EZ iOS, gan Android versijās tika izmantoti tādi reklāmas tīkli kā AdMob, JumpTab un TapJoyAds, taču lietotnes H&R Block pilnajā versijā reklāmas netiek rādītas, atzīmēja Appthority.
iOS vs Android
Starp vienas un tās pašas lietotnes iOS un Android versijām nebija daudz atšķirību riskantās izturēšanās veidos, sacīja Gērra. Lielākā daļa atšķirību ir atkarīgas no tā, kā operētājsistēma apstrādā atļaujas. Android prasa, lai lietotne parādītu visas atļaujas, pirms lietotājs var instalēt un palaist lietotni, izmantojot pieeju “jeb jebko”. Turpretī iOS lūdz atļauju, kad rodas viņu situācija. Piemēram, iOS lietotnei nebūs piekļuves lietotāja atrašanās vietai, kamēr lietotājs nemēģinās izmantot veikala atrašanās vietas noteikšanas funkciju.
Saskaņā ar jaunākajiem noteikumiem, iOS 6 aizliedz lietotņu izstrādātājiem izsekot lietotājiem, pamatojoties uz viņu ierīces ID un UDID vai EMEI numuriem. Šī prakse joprojām ir izplatīta Android lietotnēs. Lietotnes H&R Block 1040EZ iOS versija neseko lietotājam, bet tās pašas lietotnes Android versija to veic, apkopojot mobilās ierīces ID, mobilās platformas būves un versijas informāciju un mobilās ierīces abonenta ID, sacīja Gērra.
Pilnīga lietotne H&R Block Android pieprasījumos un tai var piekļūt visu pārējo ierīcē instalēto lietotņu saraksts. Lietotnes iOS versijai nav piekļuves šai informācijai, jo operētājsistēma to neatļauj.
Riskanti, vai ne?
Šajā brīdī nav nekā īpaši riskanta, šīs lietotnes nepārraida paroles un finanšu ierakstus skaidrā tekstā. Tomēr paliek fakts, ka lietotnes nevajadzīgi koplieto lietotāju datus. Neviena no citām lietotnēm, izņemot vienu lietotni, nepiedāvāja veikala lokatora funkciju. Kāpēc tad šīm citām lietotnēm bija nepieciešama piekļuve lietotāja atrašanās vietai? Kāpēc šīm lietotnēm bija nepieciešama piekļuve lietotāja kontaktpersonām? Tas nešķiet nepieciešams nodokļu sagatavošanai.
Appthority apskatīja dažas vecas lietotnes, "lai pierādītu punktu", sacīja Geurra. Daudzām no šīm lietotnēm ir noteikts derīguma termiņš, piemēram, 2012. gada nodokļu lietotnēm, kurās lietotājiem tiek paredzēts, ka tās vairs neizmanto pēc to lietošanas pabeigšanas.
Šīs "vienreiz lietojamās lietotnes" reti tiek izvilktas no tirgus, un lietotājiem jāzina, ka šīm lietotnēm ir piekļuve datiem lietotāja ierīcēs.
