Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (September 2024)
Vi ger upp en hel del säkerhet och integritet när vi laddar ner appar från Apples App Store och Google Play. Vi slutar sällan för att granska vad apparna gör på våra enheter och med våra data och glömmer att utvecklare inte prioriterar användarnas integritet när de bygger appen.
"Det som jag inte tror att folk inser att vi inte är kunden för dessa gratisappar. Annonsörerna är det, " säger Michael Sutton, Zscalers vice president för säkerhetsforskning, till Security Watch.
Utvecklarna funderar på vad annonsörerna vill ha när de bygger dessa appar, och det är information om användare och möjligheten att spåra användaraktivitet, sa Sutton. Så när det gäller appbehörigheter är det inget som hindrar utvecklare från att be om mer än de behöver. De flesta läser inte behörighetslistan innan de accepterar dem alla för att installera appen, och folk klagar vanligtvis inte om appen verkar be om för många. Det finns fall där utvecklare begär behörigheter oavsett om de faktiskt behöver dem.
I själva verket finns det "inget hämmande för dem att inte göra det, särskilt på Android-sidan av huset, " sade Sutton.
ZScaler forskningsresultat
Forskare från Zscaler ThreatLabz analyserade 550 iOS-appar och 75 000 Android-appar för att förstå hur de två mobila operativsystemen närmar sig integritet och säkerhet. I sin statiska analys såg teamet efter faktiska instanser i koden där funktioner som krävde specifika åtkomstnivåer kallades. På detta sätt kunde de verifiera att funktionen faktiskt använde den tillåtelse den hade bett om.
Resultaten är ganska djupgående och fascinerande, till exempel det faktum att mer än 60 procent av iOS-apparna i kategorin "Spel och underhållning" begär tillstånd till telefonfunktioner och geo-placering. Zscaler kallade detta konstaterande "oroande" och noterade att det nyligen har rapporterats om appar som spionerade på användaraktivitet. Det numret är högre för livsstilsappar, med 81 procent som begär funktionalitet. Sammantaget frågade 34 procent av iOS-apparna tillåtelse att få åtkomst till adressboken, 83 procent begärde e-poståtkomst och 46 procent kunde läsa användarens kalender.
"Med 97 procent appar som använder minst en av funktionerna som spåras (adressbok, telefoni, plats, e-postkalender eller UUID) konsumeras vi som sagt mycket, om inte mer än vi konsumerar, " skrev Zscaler på bloggen.
På Android-sidan fann Zscaler att 68 procent av appar som begär SMS-behörigheter ber om möjligheten att skicka SMS-meddelanden. Detta är något att oroa sig för, med tanke på populariteten för SMS-bedrägeri och spam som lurar användare att skicka meddelanden till premiumnummer. Ytterligare 28 procent av appar med SMS-behörigheter begär också möjligheten att läsa SMS-meddelanden. Detta är också ett annat problem när du överväger antalet mobila banksajter och andra tjänster som skickar koder via SMS för tvåfaktorautentisering eller bekräftar specifika transaktioner. "Det är ett mycket riskabelt tillstånd att bevilja en app, " sade Sutton och noterade att Apple inte ens ger detta tillstånd.
Det goda är att för närvarande begär mindre än 10 procent av apparna för närvarande SMS-behörigheter. Men ändå.
Av de analyserade Android-apparna fann Zscaler att 36 procent begärde platsinformation och 46 procent bad om telefonens tillstånd, vilket gör att appar kan få tillgång till SIM-kortinformation och telefonens unika IMEI-identifierare.
"Det är en känslig balans mellan vad vi är villiga att ge upp i utbyte mot en gratis applikation, " sade Sutton.
Android utsätter användare för fler risker
Det största problemet för Sutton var att Android inte gav användarna någon kontroll över vilka behörigheter apparna kunde ha. "Jag är inte ett fan av allt-eller-ingen-modellen i Android, " sade Sutton och kallade den "farlig."
Det är lite ledsen, eftersom Android faktiskt går längre än iOS när det gäller att ge utvecklarna mycket granulära nivåer av kontroll. Den kontrollnivån överförs dock inte till själva appen, eftersom om användaren inte gillar ett specifikt tillstånd som appen begär kan användaren inte installera appen. Apple å andra sidan installerar iOS-appen och sedan när en specifik funktionalitet är nödvändig, ber användaren om tillstånd.
"Det är en sak som Apple gör bättre, " sade Sutton. Han sa att den "överlägsna metoden" för behörigheter enligt iOS-modellen gör ett bättre jobb för att skydda konsumenterna.
Apple har också kämpat för att förhindra utvecklare från att spåra enheter, sade Sutton. Utvecklare fick ursprungligen fråga om enhetens unika UDID, som annonsörer kunde använda för att bygga profiler och förstå vilken typ av appar användare använde. Även om Apple har förbjudit användning av UDID, fann Zscaler att 38 procent av iOS-apparna i sin analys fortfarande hade tillgång. Apple har också förbjudit utvecklare att spåra MAC-adresser. UUID är det föredragna tillvägagångssättet eftersom det är ett unikt värde som genereras per app och enhet, vilket hindrar annonsörer från att spåra användare över appar.
Apple har "verkligen kämpat en kamp för att förhindra utvecklare från att spåra enheter, " sade Sutton. "Google har inte gjort någonting på det området."
