Išmaniųjų telefonų aplikacijos siuntinėja vartotojų duomenis trečioms šalims

8
gruodžio
2015
00:00
Temos: Android, iOS aplikacijos, Saugumas
iOS ir Android aplikacijos

Neseniai paskelbto tyrimo duomenimis, tiek Google Play, tiek ir Apple App Store esančios aplikacijos dažnai persiunčia ir labai asmeninius vartotojų duomenis į trečių šalių serverius neretai vartotojų apie tai visai neinformavusios.

MIT, Harvard’o ir Carnegie Mellon tyrėjai nustatė, kad išmaniųjų telefonų aplikacijos, kurias vartotojai atsisiunčia iš Google Play ar Apple App Store ir įdiegia savo mobiliuose telefonuose ar planšetiniuose kompiuteriuose gali persiųsti duomenis į trečių šalių serverius. Tyrėjų duomenimis Android aplikacijos šnipinėja vartotojus daugiau nei tai daro iOS operacinei sistemai skirtos programėlės.

Iš 110 patikrintų aplikacijų, 73% Android platformai skirtų programėlių trečioms šalims perduoda tokią vartotojų informaciją kaip elektroninio pašto adresai, o 47% iOS aplikacijų informuoja apie vartotojo buvimo vietą. Tyrėjai nustatė, kad 25% Android aplikacijų trečioms šalims persiunčia adresus, o 24% telefono IMEI numerį bei kitas detales. Tyrėjai taip pat pastebi, kad 51 iš 55 Android aplikacijų jungiasi prie safemovedm.com domeno.

Android aplikacijų (kairėje) asmeninių vartotojų duomenų siuntimas į serverius/domenus (dešinėje). Spalvota linija nurodo kad vartotojo duomenys siunčiami į pirminį (aplikacijos kūrėjo) serverį, o juoda - kad vartotojo duomenys perduodami į trečių šalių serverius. Aplikacijos prie kurių pavadinimų yra didesni apskritimai vartotojo duomenis perduoda į daugiau domenų (tiek pirminių, tiek ir trečių šalių).
Android aplikacijų (kairėje) asmeninių vartotojų duomenų siuntimas į serverius/domenus (dešinėje). Spalvota linija nurodo kad vartotojo duomenys siunčiami į pirminį (aplikacijos kūrėjo) serverį, o juoda - kad vartotojo duomenys perduodami į trečių šalių serverius. Aplikacijos prie kurių pavadinimų yra didesni apskritimai vartotojo duomenis perduoda į daugiau domenų (tiek pirminių, tiek ir trečių šalių).
Grafikas: JOTS

Kalbėdami apie iOS aplikacijas eksperimentą atlikę ekspertai rašo jog 18% iOS aplikacijų į trečių šalių serverius persiunčia vardus ir 16% išsiunčia elektroninio pašto adresus. Pavyzdžiui iOS skirta „Pinterest“ aplikacija išsiunčia vardus į keturis skirtingus trečių šalių serverius, tame tarpe: yoz.io.facebook.com, crittercism.com ir flurry.com.

iOS aplikacijų (kairėje) asmeninių vartotojų duomenų siuntimas į serverius/domenus (dešinėje). Spalvota linija nurodo kad vartotojo duomenys siunčiami į pirminį (aplikacijos kūrėjo) serverį, o juoda - kad vartotojo duomenys perduodami į trečių šalių serverius. Aplikacijos prie kurių pavadinimų yra didesni apskritimai vartotojo duomenis perduoda į daugiau domenų (tiek pirminių, tiek ir trečių šalių).
iOS aplikacijų (kairėje) asmeninių vartotojų duomenų siuntimas į serverius/domenus (dešinėje). Spalvota linija nurodo kad vartotojo duomenys siunčiami į pirminį (aplikacijos kūrėjo) serverį, o juoda - kad vartotojo duomenys perduodami į trečių šalių serverius. Aplikacijos prie kurių pavadinimų yra didesni apskritimai vartotojo duomenis perduoda į daugiau domenų (tiek pirminių, tiek ir trečių šalių).
Grafikas: JOTS
  • Labiau tikėtina, kad Android OS skirtos aplikacijos perduos asmeninę vartotojo informaciją, tokią kaip vartotojo vardas ar kitą panašią, leidžiančią jį identifikuoti - 73% Android aplikacijų ir 16% iOS aplikacijų.
  • iOS aplikacijos dažniau nei skirtos Android platformai perduoda vartotojo geolokacijos duomenis. 47% iOS aplikacijų ir 33% Android aplikacijų trečioms šalims persiunčia vartotojo buvimo vietos duomenis.
  • 3 iš 10 „Sveikatos ir sveikatingumo“ (Medical Health and Fitness) kategorijai priskiriamų aplikacijų persiunčia į trečių šalių serverius paieškos žodžius, kitaip tariant jei su sveikatingumu susijusiose aplikacijose ieškote „Herpesas“ ar „grybelis“ - tai greičiausiai jau menka Jūsų paslaptis.

Tyrėjai pasirinko populiarias, nemokamai Google Play ir iOS aplikacijų parduotuvėje platinamas mobiliems įrenginiams skirtas programėles ir naudojo jas po 10–20 minučių stebėdami jų perduodamą informaciją.

Keli domenai surenkantys tokią informaciją yra gana nuspėjami: du Google priklausantys domenai (google.com ir googleapis.com) bei domenai priklausantys Apple ir Facebook.

Tie ką domina kokią informaciją tikrintos Android ir iOS aplikacijos persiunčia į trečių šalių serverius - gali patikrinti patys jots.pub svetainėje, žemiau kelios populiaresnės:

  • „Instagram“ aplikacija skirta iOS siunčia vartotojo geolokacijos duomenis į apple.com, gimimo datą, geolokacinius duomenis ir lytį perduoda į facebook.com bei geolokacijos duomenys yra persiunčiami ir į yahooapis.com. „Instagram“ aplikacija skirta Android persiunčia vartotojo elektroninio pašto adresą į google.com bei adresą, el. pašto adresą ir vardą į googleapis.com.
  • Žaidimas „Fruit Ninja“ skirtas iOS įrenginiams į amazon.com persiunčia medicininius duomenis. Vardą, elektroninio pašto adresą ir vartotojo vardą žaidimas persiunčia į apple.com, o geolokacijos duomenis į beintoo.com ir zigi.com serverius.
  • „Google Earth“ skirta Android platformai persiunčia paieškos žodžius ir vartotojo geolokacijos duomenis į ggpht.com bei adresą, indeksą, draugų sąrašą, paieškos žodžius ir geolokacijos duomenis į google.com.
  • „Snapchat“ aplikacija skirta iOS ir Android į appspot.com serverį persiunčia vartotojo gimimo datą, elektroninio pašto adresą, slaptažodį, telefono numerį ir vartotojo vardą. Papildomai, Android įrenginiams skirta „Snapchat“ į facebook.com persiunčia vardą ir draugo su kuriuo bendraujama informaciją.

Ką gali vartotojai? Ekspertai rekomenduoja vartotojams kai tai yra įmanoma, pateikti klaidingus duomenis, tiesa tokią galimybę turi tik Android vartotojai. „Mockdroid“ yra kodifikuota Android operacinės sistemos versija, o „TISSA“ ir „AppFence“ du įrankiai leidžiantys Android pagrindu veikiančiuose išmaniuose telefonuose įdiegti papildomus apsaugos mechanizmus.

Detalesnę su šiuo tyrimu susijusią informaciją rasite JOTS svetainėje.

Pasidalinti straipsniu:

Apie Ramūnas Blavaščiūnas

Fotografijos, geros technikos ir kavos mylėtojas

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*

Visos teisės saugomos. © 2013 - 2024 Mac Arena | Autorinės teisės ir privatumo politika
Į viršų