Video: Lär dig Sökordsoptimera (September 2024)
Vissa skatte- och relaterade finansieringsappar för Android och iOS kan samla in och dela användardata onödigt. Har du några av dessa appar på din mobila enhet?
Appthority analyserade flera skatteekonomiska hanteringsappar för Android- och iOS-enheter och identifierade en handfull riskabelt beteende, inklusive spårning av användarplats, åtkomst till kontaktlistan och delning av användardata med tredje parter, berättade Domingo Guerra, ordförande och grundare av Appthority, till SecurityWatch.
Många av apparna överför användardata som plats och kontaktinformation dras från adressboken till tredjepartsannonsnätverk, hittade Appthority. Det mesta av kommunikationen med annonsnätverket råkade i tydlig text. Även om det var meningsfullt att H&R Block-appen hade tillgång till användarens plats, eftersom appen låter användare hitta närmaste butik, var det "inte så klart varför" de återstående apparna behövde den informationen.
"Resten delar bara den platsen med annonsnätverk, " sa Guerra.
Listan över appar inkluderade "stora namnskattappar och några mindre nykomlingar" som H&R Block TaxPrep 1040EZ och de fullständiga H&R Block-apparna, TaxCaster och My Tax Refund från Intuit (företaget bakom TurboTax), inkomstskattberäknare 2012 från en utvecklare som heter SydneyITGuy och Federal Tax 1040EZ från RazRon, sade Guerra. Appthority utförde sin analys med sin egen automatiska mobilhanteringstjänst.
Svag till ingen kryptering
Apparna hade i allmänhet svag kryptering och valde att selektivt skydda en del av datatrafiken, i motsats till att kryptera all trafik, fann Appthority. Några av apparna - Guerra specificerade inte vilka - använde förutsägbara krypteringscifrar istället för att utnyttja krypterings randomiserare. "Inget namn" -apparna, till exempel de från RazRon, använde inte kryptering alls.
En av de stora namnapparna inkluderade filvägar till källkoden i dess felsökningsinformation i den körbara. Filepaths innehåller ofta användarnamn och annan information som kan användas för att rikta in sig på app-utvecklaren eller företaget, sa Appthority. Återigen identifierade inte Guerra appen med namn.
Medan "det generellt sett inte är någon större risk att läcka denna information", "bör den undvikas om möjligt", sa Guerra.
Exponera data
Några av apparna erbjöd en funktion där användaren kunde ta en bild av W2, och bilden sparades sedan i enhetens "kamerarulle", hittade Appthority. Detta kan vara ett allvarligt problem för användare som automatiskt laddar upp eller synkroniserar med molntjänster som iCloud eller Google+ eftersom den bilden sparas på osäkra platser och potentiellt exponeras.
Både iOS- och Android-versionerna av H&R Block 1040EZ-appen använde annonsnätverk som AdMob, JumpTab och TapJoyAds, men den fullständiga versionen av H&R Block-appen visar inte annonser, noterade Appthority.
iOS vs Android
Det fanns inte många skillnader i typerna av riskabelt beteende mellan iOS- och Android-versioner av samma app, sa Guerra. De flesta av skillnaderna kokade ner till hur operativsystemet hanterar behörigheter. Android kräver att appen ska visa alla behörigheter innan användaren kan installera och köra appen i en allt-eller-ingenting-strategi. Däremot ber iOS om tillstånd när situationen uppstår. Till exempel kommer inte iOS-appen att ha åtkomst till användarens plats förrän användaren försöker använda butikens lokaliseringsfunktion.
Enligt de senaste reglerna förbjuder iOS 6 apputvecklare från att spåra användare baserat på deras enhets-ID och UDID- eller EMEI-nummer. Denna praxis är fortfarande vanlig bland Android-appar. IOS-versionen av H&R Block 1040EZ-appen spårar inte användaren, men Android-versionen av samma app gör det genom att samla in mobilenhetens ID, mobil plattformsbyggnad och versioninformation, och den mobila enhetens abonnent-ID, sa Guerra.
Den fullständiga H&R Block-appen på Android-förfrågningar och har åtkomst till en lista över alla andra appar installerade på enheten. IOS-versionen av appen har inte tillgång till den här informationen eftersom operativsystemet inte tillåter detta.
Riskabelt eller inte?
Det finns inget specifikt riskabelt just nu. Dessa appar överför inte lösenord och finansiella poster i tydlig text. Det är dock fortfarande att appar delar onödigt användardata. Med undantag för en app erbjöd ingen av de andra apparna en butikspåfunktion. Varför behövde dessa andra appar då komma åt användarens plats? Varför behövde dessa appar tillgång till användarens kontakter? Det verkar inte nödvändigt för att förbereda skatter.
Appthority tittade på några gamla appar "för att bevisa en poäng, " sade Geurra. Många av dessa appar har sorteringsdatum - till exempel 2012-skatteappar - där användare förväntas inte längre använda det efter att de har slutat använda det.
Dessa "engångsappar" dras sällan från marknaden och användare bör vara medvetna om att dessa appar har tillgång till data på användarens enheter.
