Video: Getting Started with Deep Learning Models in R using Google Cloud and RStudio (Cloud Next '18) (Oktober 2024)
Noen skatte- og relaterte finansapper for Android og iOS kan samle inn og dele brukerdata unødvendig. Har du noen av disse appene på mobilenheten din?
Appthority analyserte flere skattemessige økonomiske styringsapper for Android- og iOS-enheter og identifiserte en håndfull risikofull oppførsel, inkludert sporing av brukerplassering, tilgang til kontaktlisten og deling av brukerdata med tredjeparter, sier Domingo Guerra, president og grunnlegger av Appthority, til SecurityWatch.
Mange av appene overfører brukerdata som beliggenhet og kontaktinformasjon hentet fra adresseboken til tredjeparts annonsenettverk, fant Appthority. Det meste av kommunikasjonen med annonsenettverkene skjedde i klartekst. Selv om det var fornuftig for H&R Block-appen å ha tilgang til brukerens beliggenhet, siden appen lar brukerne finne nærmeste butikk, var det "ikke veldig tydelig hvorfor" de gjenværende appene trengte den informasjonen.
"Resten deler bare det stedet med annonsenettverk, " sa Guerra.
Listen over apper inkluderte "store navn-skatterapper og noen mindre nykommere" som H&R Block TaxPrep 1040EZ og de fullstendige H&R Block-appene, TaxCaster og My Tax Refund fra Intuit (selskapet bak TurboTax), Income Tax Calculator 2012 fra en utvikler som heter SydneyITGuy og Federal Tax 1040EZ fra RazRon, sa Guerra. Appthority utførte sin analyse ved hjelp av sin egen automatiserte mobilapprisikostyringstjeneste.
Svak til ingen kryptering
Appene hadde generelt svak kryptering og valgte å selektivt beskytte noe av datatrafikken, i motsetning til å kryptere all trafikk, fant Appthority. Noen få av appene - Guerra spesifiserte ikke hvilke - brukte forutsigbare krypteringssifere i stedet for å utnytte krypterings randomisatorer. Appene uten navn, for eksempel de fra RazRon, brukte ikke kryptering i det hele tatt.
En av appene med store navn inkluderte filstier til kildekoden i feilsøkingsinformasjonen i den kjørbare. Filepatene inneholder ofte brukernavn og annen informasjon som kan brukes til å målrette apputvikleren eller selskapet, sier Appthority. Igjen identifiserte ikke Guerra appen med navn.
Mens "det generelt ikke er noen stor risiko for å lekke denne informasjonen, " "bør den unngås om mulig, " sa Guerra.
Å utsette data
Noen av appene ga en funksjon der brukeren kunne ta et bilde av W2, og bildet ble deretter lagret i enhetens "kamerarulle, " fant Appthority. Dette kan være et alvorlig problem for brukere som automatisk laster opp eller synkroniserer med skytjenester som iCloud eller Google+ ettersom bildet blir lagret på usikre steder og potensielt eksponert.
Både iOS- og Android-versjonene av H&R Block 1040EZ-appen brukte annonsenettverk som AdMob, JumpTab og TapJoyAds, men den fulle versjonen av H&R Block-appen viser ikke annonser, bemerket Appthority.
iOS vs Android
Det var ikke mange forskjeller i hvilke typer risikofylt atferd mellom iOS og Android-versjoner av den samme appen, sa Guerra. De fleste forskjellene ble kokt ned til hvordan operativsystemet håndterer tillatelser. Android krever at appen viser alle tillatelsene før brukeren kan installere og kjøre appen i en alt-eller-ingenting-tilnærming. I kontrast til det ber iOS om tillatelse når situasjonen dukker opp. For eksempel vil ikke iOS-appen ha tilgang til brukerens plassering før brukeren prøver å bruke butikklokaliseringsfunksjonen.
I henhold til de nyeste reglene forbyr iOS 6 apputviklere å spore brukere basert på enhets-ID og UDID- eller EMEI-nummer. Denne praksisen er fremdeles vanlig blant Android-apper. IOS-versjonen av H&R Block 1040EZ-appen sporer ikke brukeren, men Android-versjonen av den samme appen gjør det ved å samle inn mobilenhetens ID, mobil plattformbygging og versjonsinformasjon, og den mobile enhetens abonnent-ID, sa Guerra.
Den fullstendige H&R Block-appen på Android-forespørsler og har tilgang til en liste over alle andre apper som er installert på enheten. IOS-versjonen av appen har ikke tilgang til denne informasjonen fordi operativsystemet ikke tillater dette.
Risikabelt eller ikke?
Det er ingenting som er spesielt risikabelt på dette tidspunktet. Disse appene overfører ikke passord og økonomiske poster i klartekst. Imidlertid gjenstår det faktum at apper deler brukerdata unødvendig. Med unntak av én app tilbød ingen av de andre appene en butikklokaliseringsfunksjon. Hvorfor trengte da disse andre appene tilgang til brukerens beliggenhet? Hvorfor trengte disse appene tilgang til brukerens kontakter? Det virker ikke nødvendig for å forberede skatt.
Appthority så på noen gamle apper "for å bevise et poeng, " sa Geurra. Mange av disse appene har en utløpsdato for sortering - for eksempel skatterapper for 2012 - der det forventes at brukerne ikke lenger bruker det etter at de er ferdige med å bruke den.
Disse "engangsappene" blir sjelden trukket fra markedet, og brukerne bør være klar over at disse appene har tilgang til data på brukerens enheter.
