Windows

Studiu: Aplicațiile telefonului mobil văd mai multe date private decât este necesar

Telefoane accesibile la abonament

Telefoane accesibile la abonament
Anonim

Aplicațiile telefonului mobil accesează datele private ale utilizatorilor și le transmit la serverele de la distanță mult mai mult decât pare strict necesar, în timp ce utilizatorii au instrumente inadecvate pentru a monitoriza sau controla acest acces, potrivit unui nou studiu realizat de două agenții guvernamentale franceze.

Comisia națională franceză pentru calcul și libertate (CNIL) a studiat comportamentul a 189 aplicații pe șase iPhone-uri echipate cu software de monitorizare și instrumente de analiză dezvoltate de Institutul Național Francez pentru Cercetare în Informatică și Control (INRIA). Scopul a fost acela de a imbunatati intelegerea generala a modului in care aplicatiile folosesc date private, nu sa indice degetul anumitor dezvoltatori, a declarat presedintele CNIL, Isabelle Falque-Pierrotin, intr-o conferinta de presa de prezentare a cercetarii

., CNIL a luat o abordare în lumea reală, solicitând șase voluntari să-și pună propriile cartele SIM în telefoane și să le folosească pe măsură ce ar fi proprii între mijlocul lunii octombrie și jumătatea lunii ianuarie. Un voluntar a descărcat aproape 100 de aplicații, iar unul a adăugat doar cinci la cele instalate de Apple.

[Citește mai departe: Cele mai bune telefoane Android pentru fiecare buget.]

Una din 12 dintre aplicații a accesat agenda și aproape una din trei informații despre locație. În medie, utilizatorii au urmărit locația de 76 de ori pe zi în timpul studiului. Aplicația Foursquare și propria aplicație Hărți ale Apple au solicitat cele mai des întâlnite informații despre locație - probabil înțelese datorită scopului lor - cu Aplicația Aparat foto Apple Aproape în urmă.

Numele iPhone-ului a fost accesat de o aplicație în șase, ceea ce cercetătorii au descoperit inexplicabil aproape nici un scop și este departe de a fi un identificator unic, deși adesea conține numele dat de utilizator, ar putea fi considerat informații de identificare personală.

Aplicația lui Facebook a făcut puțină încercare de a accesa astfel de informații private - dar apoi,, cercetatorii de la doua agentii guvernamentale franceze, CNIL si INRIA, doresc sa ofere utilizatorilor iOS-ului Apple un control suplimentar asupra modului in care aplicatiile isi acceseaza informatiile personale, permitandu-le astfel să revizuiască și să modifice acel acces în orice moment.

Datele accesate de departe cel mai mult în studiu au fost identificatorul dispozitivului universal (UDID) al iPhone-ului, un număr de serie permanent asociat cu un anumit telefon. Aproape jumătate dintre aplicații au accesat-o și una din trei a trimis-o pe Internet necriptată. Aplicația unui ziar cotidian a accesat UDID-ul de 1.989 de ori în timpul studiului, transmițându-l de 614 de ori editorului său.

Purtătorul de cuvânt al CNIL, Stéphane Petitcolas, a demonstrat cum utilizatorii își pot recâștiga controlul printr-un nou instrument de setări pentru a limita accesul aplicațiilor la toate tipurile private, la fel cum Apple le permite utilizatorilor să controleze accesul la informații despre locație astăzi. Apple nu a vazut instrumentul inca, dar INRIA ar lua in considerare partajarea codului in cazul in care compania a fost interesata, a declarat Claude Castelluccia, directorul echipei de cercetare.

Cumpărătorii aplicațiilor iPhone nu prea știu ce informații sau funcții vor accesa aplicațiile lor. Magazinul Google Play arată ce informații și funcții va accesa o aplicație - dar alegerea este totală sau nu. Versiunile mai vechi ale sistemului de operare BlackBerry oferă utilizatorilor mai multă libertate de a alege API-urile (interfețele de programare a aplicațiilor) pe care le-ar permite unei aplicații să acceseze, cu riscul ruperii aplicației, dar în BlackBerry 10 controlul granular este disponibil numai pentru aplicațiile native: Aplicațiile Android aleg alegerea din nou să o ia sau să o abandoneze.

Apple ia pașii copilului spre a oferi utilizatorilor acest tip de control. În iOS 5 ar putea împiedica accesul anumitor aplicații la locația lor, iar în iOS 6 vor avea o altă opțiune, deoarece Apple încearcă să înceteze folosirea UDID-ului pentru a identifica utilizatorii și pentru a viza publicitatea.

În schimb, Apple dorește dezvoltatorii să utilizeze identificatorul de publicitate pe care l-a introdus în iOS 6. Acesta nu este asociat permanent cu un telefon sau cu o persoană, iar utilizatorii care nu vor să fie urmăriți pot schimba ori de câte ori doresc - atât timp cât gândesc arata mai degraba in Settings / General / About / Advertising decat in setarile mai evidente / confidentialitate.

Aceasta optiune nu a fost disponibila pentru participantii la studiul CNIL-INRIA, care, din motive tehnice, a fost efectuata folosind iOS 5. urmatoarea faza de cercetare va folosi iOS 6, acum ca INRIA si-a actualizat aplicatia de monitorizare pentru a folosi noua versiune.

Pentru a monitoriza modul in care aplicatiile au accesat informatii private, INRIA a trebuit sa jailbreak iPhone-urile si sa instaleze o aplicatie speciala pentru a intercepta Apple API prin care aplicațiile solicită accesul la informații private, a declarat cercetătorul INRIA, Vincent Roca. Cercetătorii au ales să lucreze pe iPhone deoarece au deja experiență în dezvoltare pentru iOS. Ei dezvoltă acum o aplicație cu capabilități similare pentru telefoanele Android, pe care trebuie să le rădăcească pentru a le instala.

Aplicația de monitorizare a INRIA a înregistrat fiecare cerere interceptată într-o bază de date de pe telefon, împreună cu informațiile private solicitate, astfel încât îl putea identifica în traficul de rețea din exterior. Aplicația iOS 5 ar putea monitoriza numai traficul de rețea necriptat, dar versiunea pentru iOS 6 poate acum conecta API-urile de rețea înainte ca traficul să fie criptat, a declarat Roca.

Aplicația a trimis, de asemenea, cereri interceptate către un server central pentru studiu - informatiile private privitoare, deoarece chiar si subiectii experimentati au dreptul la intimitatea lor, au subliniat cercetatorii.

INRIA si CNIL abia incep sa analizeze datele pe care le-au colectat de la cele sase iPhone-uri: exista 9 gigabytes of it, evenimente pe parcursul perioadei de trei luni

Un lucru pe care studiul le-a dezvăluit deja este faptul că accesul la date private este accidental. O aplicație care identifică cea mai apropiată piscină din Paris (orașul are 38 pe o rază de aproximativ 5 kilometri) a accesat informații despre locație mult mai mult decât este necesar pentru a-și îndeplini funcția, aparent datorită unei erori de programare, a spus Petitcolas CNIL