Studiu Bitdefender: Ce informatii personale pot extrage aplicatiile Android sau iOS instalate pe terminale

Aplicatiile sunt la fel de invazive si de curioase indiferent daca ruleaza pe terminale cu Android sau pe cele cu iOS.

apple-app-store-apps

De la  momentul introducerii Clueful pentru Android echipa Bitdefender Romanni s-a gandit ca utilizatorii de dispozitive mobile ar trebui sa stie ce fac aplicatiile pe care ei le instaleaza pe terminalele lor. Dupa doi ani si cateva sute de mii de aplicatii analizate, tehnologiile Clueful a detectat o tendinta interesanta: aplicatiile sunt la fel de invazive si curioase indiferent daca ruleaza pe terminale cu Android sau iOS si chiar daca unii ar putea spune ca un sistem de operare este mai sigur decat celalalt.

Timp de mai bine de un an, au fost colectate aplicatii din Play Store si iTunes si au fost realizate analize statistice si dinamice. Pentru versiunea Clueful de Android au fost adunate  informatii din 314.474 aplicatii, in timp ce versiunea Clueful de iOS cuprinde date din analiza a 207.873 aplicatii. Analizele efectuate ofera indicii care permit utilizatorilor sa aiba o viziune completa asupra informatiilor personale pe care aplicatiile incearca sa le acceseze, asupra permisiunilor pe care acestea le solicita si asupra modului in care folosesc datele personale la care au acces.

ABC-ul permisiunilor aplicatiilor

Inainte de a intra in detalii, mentionam ca permisiunile aplicatiilor sunt diferite in functie de sistemul de operare. De exemplu, daca pe Android permisiunile sunt enumerate la instalare si nu pot suferi schimbari ulterioare, pe iOS sunt acordate in timpul rularii aplicatiei, cand utilizatorii trebuie sa permita sau sa respinga accesul la diverse resurse, precum locatia curenta. Pe langa aceste aspecte, ambele tipuri de aplicatii, si cele pentru Android si cele pentru iOS, pot interactiona in diferite moduri cu terminalul utilizatorului, dar si cu serviciile de internet terte.

Indicii comparabile

Asa cum am mentionat anterior, indiciile din Android si iOS nu pot fi comparate, intrucat, cel mai adesea, permisiunile Android nu au un corespondent in aplicatiile iOS, iar unele comportamente care se regasesc pe Android sunt inacceptabile pentru aplicatiile iOS livrate prin AppStore (de ex: citirea numarului de telefon al utilizatorului). in timp ce unele restrictii de confidentialitate sunt foarte puternice pe iOS, peisajul amenintarilor este similar cu cel de pe Android. Analiza Bitdefender se concentreaza pe cele mai intruzive comportamente pe care dezvoltatorii de aplicatii ar fi putut sa le includa in produsele lor. Am luat, de asemenea, in calcul comportamentele similare in iOS si Android:

1. Urmarirea locatiei

Urmarirea locatiei utilizatorului este un aspect ingrijorator in cazul ambelor platforme. Implementarea si utilizarea acestei functii se realizeaza similar si pe Android si pe iOS, iar locatia este adesea solicitata de furnizorii de publicitate prin cadre ce urmaresc obiceiurile de consum ale utilizatorilor. Testul Clueful scoate la iveala faptul ca 45,4% dintre aplicatiile de iOS au posibilitatea sa urmareasca locatia utilizatorilor, chiar daca nu fac asta in mod explicit. Spre comparatie, doar 34,5% dintre aplicatiile de Android analizate au aceasta capacitate.

Exemple de aplicatii care inregistreaza locatia:

ANDROID

· Latest Nail Fashion Trends (v.3.1), cu o baza de clienti estimata cuprinsa intre 100.000 si 500.000.

iOS

· PokerStars TV(v.2.2.2.0) – foloseste geolocatie pentru a urmari locatia exacta a utilizatorului

· Cheezburger(v.1.2.2 ) – foloseste geolocatie pentru a urmari locatia exacta a utilizatorului

2. Citirea listei de contacte

In timp ce numai 7,6 dintre aplicatiile de Android solicita permisiunea utilizatorului pentru a citi lista de contacte, cele de iOS sunt ceva mai curioase, intrucat 18,9% dintre cele analizate sunt tehnic capabile sa faca asta.

Exemple de aplicatii care citesc lista de contacte:

ANDROID

· Longman Contemporary English(v.1.81) – com.flexidict.data.longmancontemporary, eliminata momentan din Play Store;

· Cambridge American Idiom(v.1.81) – com.flexidict.data2.cambridgeamericanidioms – eliminata momentan din Play Store.

iOS

· OLJ (v.1.1)– citeste numele si adresa de email a contactelor si le trimite catre un server tert

· 3D Badminton II(v.2.026) – citeste adresa de email a contactelor si le trimite catre un server din Hong Kong.

3. Transmiterea adresei de email sau a ID-ului terminalului

Unele dintre cele mai importante informatii pentru o companie de publicitate sunt adresele de email si numarul unic de identificare a terminalelor (IMEI). Aceste date pot fi distribuite unor terte parti si pot fi folosite de exemplu pentru a trimite consumatorilor reclame adaptate in functie de comportamentul lor, potrivit unui raport recent al Federal Trade Commission .

Aproximativ 14,5% dintre aplicatiile de Android pot transmite mai departe ID-ul dispozitivului si 5,7% dintre ele pot transmite emailul. Din nou, aplicatiile iOS par a se concentra mai mult pe culegerea de date personale decat cele de Android. Dupa incidentele de securitate din 2012, cand agentia de publicitate Blue Toad a pierdut un million de ID-uri unice, Apple a decis sa nu ma idea voie dezvoltatorilor sa acceseze ID-ul unic al terminalului.

Exemple de aplicatii care citesc adresa de email:

ANDROID

· Logo Quiz Car Choices (v. 1.8.2.9) – car.logo.quiz.game.free – between 100,000 and 500,000 installations

· Blowing sexy girl’s skirt (v. 1.6.0) – yong.app.blowskirt – – 100.000 – 500.000 instalari

iOS

· Ringtone Maker(v. 1.7)- trimite ID-ul terminalului catre “adfonic.net”

Paradise Island: Exotic(v. 1.3.14) – trimite ID-ul de terminal catre site-uri terte (catre “offer.17bullets.com”, “islandexotic.17bullets.com”, “ma.mkhoj.com”, “1.trace.multiclick.ru”, “a.jumptap.com”, “soma.smaato.com”

Exemple de aplicatii de Android care trimit ID-ul dispozitivului:

· Football Games – Soccer Juggle(v. 1.4.2) – com.madelephantstudios.BallTapp – intre 100.000 si 500,000 instalari

· Logo Quiz NFL NHL MLB NBA MLS(v.1.0.2.8) – com.fesdra.logoquiz.ussport – intre 1.000.000 si 5.000.000 de instalari

4. Transmiterea numarului de telefon

Numerele de telefon sunt legatura dintre persoana fizica si identitatea sa virtuala si permit corelarea informatiilor despre comportamentul utilizatorului in cadrul aplicatiei (ce continut este interesant pentru el, ce aplicatii are instalate etc.) si persoana careia ii apartin prin intermediul numelui si prenumelui. 8,8% dintre aplicatiile de Android analizate de Clueful pot transmite numerele de telefon ale utilizatorilor catre agentii de publicitate terte. Aplicatiile ce integreaza AirPush si in unele cazuri, LeadBolt permit dezvoltatorilor sa colecteze, sa cripteze si sa trimita numarul de telefon al terminalului. in unele tari operatorii blocheaza acest comportament pentru a proteja datele utilizatorilor.

Exemple de aplicatii care incearca sa trimita numarul de telefon

ANDROID

· Football Games – Soccer Juggle(v.1.4.2) – com.madelephantstudios.BallTapp(100.000 – 500.000 instalari)

· Button Football (Soccer)(v.1.10.3)– com.sicecommentr.buttonfootball(1.000.000 – 5.000.000 de instalari).

Sistemul de operare Android permite consumatorilor sa aleaga de unde isi instaleaza aplicatiile. Astfel, utilizatorii pot nu doar sa-si instaleze aplicatii din alte magazine decat cel al Google, dar isi pot si instala aplicatiile direct de pe website-ul dezvoltatorului. Atunci nu vor beneficia insa de mecanismele de securitate implementate de Google in PlayStore. in absenta acestui filtru, aceste aplicatii ar putea colecta mult mai multe date decat au nevoie pentru a functiona normal.

Zone gri in comportamentul aplicatiilor

Daca accesul la informatiile referitoare la locatie poate fi util si poate fi folosit in mod legitim de aplicatii, trimiterea acestor informatii pe internet nu este doar inutila, dar poate prezenta anumite riscuri pentru utilizatori. Vorbim de cazurile tipice de utilizare neclara, cand informatii inutile pentru buna functionare a aplicatiei sunt sustrase doar pentru a completa un alt set de informatii deja agregate.

Aproximativ 10% dintre aplicatiile analizate de Android fac acest lucru cu sau fara informarea prealabila a utilizatorilor. Alte aplicatii care trimit informatii referitoare la locatie, transmit mai departe companiilor de publicitate numarul de telefon si adresa de email.

Aplicatii cu comportament daunator prin neglijenta

in timp ce urmarirea locatiei, citirea contactelor si interactiunea cu site-urile de social media pot fi utile in functionarea aplicatiilor, amenintari semnificative provin din implementarea improprie a tehnologiilor, precum protocoalele de trimitere a datelor din terminalul utilizatorilor in cloud. De exemplu, pastrarea necriptata a ID-ului sau trimiterea parolelor in clar in procesul de autentificare sunt foarte periculoase pentru un terminal mobil care este adesea conectat la puncte de acces public la internet sau in retele monitorizate.

Concluzii

Un vechi proverb spune ca daca nu platesti pentru un produs, atunci tu esti produsul vandut. Ecosistemul aplicatiilor gratuite este gratuit pentru utilizator, dar este monetizat intens de dezvoltator. Pe scurt, o aplicatie devine gratuita doar dupa ce utilizatorul a platit-o cu datele lui confidentiale. Iar situatia devine si mai neplacuta atunci cand plata respectivei aplicatii nu opreste fluxul de informatii extrase despre utilizator si nici nu sterge infomatiile care au fost deja sustrase de pe terminal. Mai mult decat atat, colectarea de informatii are loc fara ca utilizatorul sa fie constient de aspectele asupra carora si-a dat acordul la instalare.

Modelul aplicatiilor sustinute din reclama este practicat inca de la aparitia internetului si a fost unul dintre factorii care au contribuit dramatic la expansiunea world wide web-ului. Surse de peste tot din lume si-au dat acordul pe programele de promovare care platesc traficul si permit distribuirea continutului gratuit catre utilizatori.

insa reclamele pe mobil sunt cu totul o alta poveste: ele se integreaza in terminal, nu ruleaza in browser, izolate de alte aplicatii. Pe mobil, sistemele de afisare a reclamelor pot afla obiceiurile de comunicare ale utilizatorului, prietenii, contactele prietenilor, locatia si – mai frecvent – toate acestea in acelasi timp. Asta le transforma in echivalentul modern al programelor spion instalate in terminalul folosit pe tot parcursul zilei.

Misiunea Clueful este sa analizeze ecosistemul aplicatiilor si sa atraga atentia asupra amenintarilor legate de confidentialitatea datelor personale pe care utilizatorul le expune la simpla instalare a unei aplicatii.

Sursa

 

Share Button