Video: Why YouTubers use two phones (iPhone vs Android) (Oktober 2024)
Vi gir opp ganske mye sikkerhet og personvern når vi laster ned apper fra Apples App Store og Google Play. Vi stopper sjelden for å granske hva appene gjør på enhetene våre og med dataene våre, og glemmer at utviklere ikke prioriterer brukernes personvern når de bygger appen.
"Det som jeg ikke tror at folk skjønner at vi ikke er kunde for disse gratis appene. Annonsørene er det, " sa Michael Sutton, Zscalers visepresident for sikkerhetsforskning, til Security Watch.
Utviklerne tenker på hva annonsørene vil ha når de bygger disse appene, og det er informasjon om brukere og muligheten til å spore brukeraktivitet, sa Sutton. Så når det gjelder apptillatelser, er det ingenting som hindrer utviklere i å be om mer enn de trenger. De fleste leser ikke tillatelseslisten før de godtar dem alle for å installere appen, og folk klager generelt ikke hvis appen ser ut til å be om for mange. Det er tilfeller hvor utviklere ber om tillatelser uavhengig av om de faktisk trenger dem.
Faktisk er det "ikke noe avskrekkende for dem å ikke gjøre det, spesielt ikke på Android-siden av huset, " sa Sutton.
ZScaler Research Findings
Forskere fra Zscaler ThreatLabz analyserte 550 iOS-apper og 75 000 Android-apper for å forstå hvordan de to mobile operativsystemene nærmer seg personvern og sikkerhet. I sin statiske analyse så teamet etter faktiske forekomster i koden der funksjoner som krever spesifikke nivåer av tilgang ble kalt. På denne måten kunne de bekrefte at funksjonen faktisk brukte tillatelsen den hadde bedt om.
Funnene er ganske dyptgående og fascinerende, for eksempel det faktum at mer enn 60 prosent av iOS-appene i kategorien "Spill og underholdning" ber om tillatelse til telefonfunksjoner og geografisk plassering. Zscaler kalte dette funnet "urovekkende", og bemerket at det nylig har kommet rapporter om apper som spionerer etter brukeraktivitet. Dette tallet er høyere for Lifestyle-apper, med 81 prosent som ber om funksjonalitet. Totalt sett ba 34 prosent av iOS-appene om tillatelse til å få tilgang til adresseboken, 83 prosent ba om e-posttilgang, og 46 prosent kunne lese brukerens kalender.
"Med 97 prosent apper som bruker minst en av funksjonalitetene som spores (adressebok, telefoni, beliggenhet, e-postkalender eller UUID), blir vi som sagt fortært like mye, om ikke mer, enn vi bruker, " skrev Zscaler videre bloggen.
På Android-siden fant Zscaler at 68 prosent av appene som ber om SMS-tillatelser, ber om muligheten til å sende SMS-meldinger. Dette er noe å bekymre seg for, med tanke på populariteten til SMS-svindel og spam som lurer brukere til å sende meldinger til premiumnumre. Ytterligere 28 prosent av appene med SMS-tillatelser ber også muligheten til å lese SMS-meldinger. Dette er også et annet bekymringsområde når du vurderer antall mobilbanknettsteder og andre tjenester som sender koder via SMS for tofaktorautentisering eller for å bekrefte bestemte transaksjoner. "Det er en veldig risikabel tillatelse til å gi en app, " sa Sutton og la merke til at Apple ikke en gang gir denne tillatelsen.
Det gode er at for øyeblikket ber mindre enn 10 prosent av appene for øyeblikket om SMS-tillatelser. Men fortsatt.
Av Android-appene som ble analysert, fant Zscaler at 36 prosent ba om posisjonsinformasjon og 46 prosent ba om telefonens tilstandstillatelse, noe som lar apper få tilgang til SIM-kortinformasjon og telefonens unike IMEI-identifikator.
"Det er en delikat balanse mellom det vi er villige til å gi opp i bytte mot en gratis applikasjon, " sa Sutton.
Android utsetter brukere for større risiko
Det største problemet, for så vidt Sutton angikk, var det faktum at Android ikke ga brukerne noen kontroll over hvilke tillatelser appene kunne ha. "Jeg er ikke tilhenger av alt-eller-ingen-modellen i Android, " sa Sutton og kalte den "farlig."
Det er litt trist, fordi Android faktisk går lenger enn iOS når det gjelder å gi utviklere veldig granulære kontrollnivåer. Det kontrollnivået overføres imidlertid ikke til selve appen. Hvis brukeren ikke liker en spesifikk tillatelse appen ber om, kan ikke brukeren installere appen. Apple installerer derimot iOS-appen, og ber brukeren om tillatelse når en spesifikk funksjonalitet er nødvendig.
"Det er en ting Apple gjør bedre, " sa Sutton. Han sa at den "overordnede tilnærmingen" til tillatelser under iOS-modellen gjør en bedre jobb med å beskytte forbrukerne.
Apple har også kjempet for å hindre utviklere fra å spore enheter, sa Sutton. Utviklere fikk opprinnelig spørsmål om enhetens unike UDID, som annonsører kunne bruke for å lage profiler og forstå hva slags apper brukerne brukte. Selv om Apple har forbudt bruk av UDID, fant Zscaler at 38 prosent av iOS-appene i sin analyse fortsatt hadde tilgang. Apple har også forbudt utviklere å spore MAC-adresser. UUID er den foretrukne tilnærmingen, ettersom den er en unik verdi generert per app og enhet, og hindrer annonsører i å spore brukere på tvers av apper.
Apple har "virkelig kjempet en kamp for å forhindre utviklere fra å spore enheter, " sa Sutton. "Google har ikke gjort noe på det riket."
