Исследование: приложения для мобильных телефонов просматривают личные данные более чем необходимо

Приложения для мобильных телефонов получают доступ к личным данным пользователей и передают их на удаленные серверы гораздо больше чем кажется сугубо необходимым, в то время как у пользователей есть неадекватные инструменты для мониторинга или контроля такого доступа, согласно новому исследованию двух правительственных агентств Франции.

Французская национальная комиссия по вычислительной технике и свободе (CNIL) изучила поведение 189 приложений на шести iPhones оснащены программным обеспечением для мониторинга и инструментами анализа, разработанными Французским национальным институтом исследований в области компьютерных наук и управления (INRIA). Цель состояла в том, чтобы улучшить общее понимание того, как приложения используют частные данные, а не указывать пальцем на конкретных разработчиков, заявил президент CNIL Изабель Фалк-Пьеротин во вторник на пресс-конференции, чтобы представить исследование.

Вместо изучения приложений в лаборатории CNIL взяла реальный подход, предложив шести добровольцам разместить свои собственные SIM-карты в телефонах и использовать их, как они были бы между серединой октября и серединой января. Один из добровольцев загрузил почти 100 приложений, а один добавил только пять к тем, которые были установлены Apple.

[Читать дальше: Лучшие телефоны Android для каждого бюджета.]

Один из 12 приложений обратился к адресной книге и почти к одной из трех доступных сведений о местоположении. В среднем, пользователи отслеживали свое местоположение 76 раз в день во время исследования. Приложение Foursquare и приложение «Google Maps» запросили информацию о местоположении наиболее часто - возможно, понятную с учетом их цели - рядом с приложениями AroundMe и Apple.

Имя iPhone было доступно одним приложением в шесть, что исследователи обнаружили необъяснимым, потому что он служит почти нет цели и далеко от уникального идентификатора, хотя, поскольку он часто содержит имя пользователя, его можно рассматривать как личную идентифицируемую информацию.

Приложение Facebook, по-видимому, мало пыталось получить доступ к такой частной информации, но затем, по словам исследователей, он не нуждается, поскольку его пользователи уже так много говорят об этом.

Исследователи из двух правительственных агентств Франции, CNIL и INRIA хотят предоставить пользователям iOS Apple дополнительный контроль над тем, как приложения получают доступ к своей личной информации, позволяя им просмотрите и измените этот доступ в любое время.

Доступ к данным, которые были доступны в большинстве случаев в исследовании, - это универсальный идентификатор устройства iPhone (UDID), серийный номер постоянно связанных с определенным телефоном. Почти половина приложений обратилась к нему, и каждый третий из них отправил ее через Интернет в незашифрованном виде. Приложение одной ежедневной газеты обращалось к UDID 1,989 раз во время исследования, отправив его 614 раз своему издателю.

Представитель CNIL Стефан Петиколас продемонстрировал, как пользователи могут восстановить контроль с помощью нового инструмента настройки, чтобы ограничить доступ приложений к любым видам частных информации, так же, как Apple позволяет пользователям контролировать доступ к информации о местоположении сегодня. Apple еще не увидела этот инструмент, но INRIA рассмотрит вопрос о совместном использовании кода, если компания заинтересована, сказал Клод Кастелчуччи, директор исследовательской группы.

Покупатели приложений iPhone не имеют представления о том, какая информация или функции будут иметь приложения, Игровой магазин Google показывает, какую информацию и функции будет иметь приложение, но выбор - все или ничего. Старые версии операционной системы BlackBerry предоставили пользователям больше свободы выбора API-интерфейсов (интерфейсов прикладного программирования), которые они позволяли бы приложению получать доступ, рискуя взломать приложение, но в BlackBerry 10 этот гранулированный элемент управления доступен только для собственных приложений: для Android-приложения, этот выбор еще раз взял его или оставил.

Apple предпринимает шаги для детей, чтобы дать пользователям такой контроль. В iOS 5 они могут запретить отдельным приложениям получать доступ к их местоположению, а в iOS 6 у них будет другой вариант, так как Apple пытается отучить разработчиков от использования UDID для идентификации пользователей и целевой рекламы.

Вместо этого Apple хочет, чтобы разработчики использовали рекламный идентификатор, который он представил в iOS 6. Это не постоянно связано с телефоном или человеком, и пользователи, которые не хотят отслеживать, могут изменять его, когда захотят, - пока они думают посмотрите в настройках / Общие / О программе / Реклама, а не более очевидные настройки / Конфиденциальность.

Этот вариант был недоступен для участников исследования CNIL-INRIA, хотя по техническим причинам был проведен с использованием iOS 5. следующий этап исследования будет использовать iOS 6, теперь, когда INRIA обновила свое приложение для мониторинга, чтобы использовать новую версию.

Чтобы отслеживать, как приложения обращались к частной информации, INRIA пришлось сделать джейлбрейк iPhone и установить специальное приложение для перехвата Apple API, через которые приложения запрашивают доступ к частной информации, сказал исследователь INRIA Винсент Рока. Исследователи решили работать на iPhone, потому что у них уже есть опыт разработки для iOS. В настоящее время они разрабатывают приложение со схожими возможностями для телефонов Android, которое им нужно корневать, чтобы установить его.

Приложение мониторинга INRIA записало каждый перехваченный запрос в базе данных на телефоне вместе с запрошенной личной информацией, чтобы он может идентифицировать его в исходящем сетевом трафике. Приложение iOS 5 может отслеживать только незашифрованный сетевой трафик, но версия для iOS 6 теперь может подключаться к сетевым API до того, как трафик будет зашифрован, сказал Рока.

Приложение также пересылало перехваченные запросы на центральный сервер для исследования - без () INRIA и CNIL только начинают анализировать данные, собранные ими из шести iPhone: есть 9 гигабайт, что составляет 7 миллионов конфиденциальных данных. события за трехмесячный период.

Одна вещь, о которой уже говорилось в исследовании, заключается в том, что некоторый доступ к конфиденциальным данным является случайным. Приложение, чтобы идентифицировать ближайший бассейн Парижа (город имеет 38 в радиусе около 5 километров), получил доступ к информации о местоположении гораздо больше, чем необходимо для выполнения своей функции, по-видимому, из-за ошибки в программировании, сказал Petitcolas CNIL.