- Dołączył
- 12 Maj 2011
- Posty
- 1571
- Reakcje/Polubienia
- 648
Kiedy aplikacja dla systemu Android prosi o dostęp do danych dotyczących Twojej lokalizacji, a Ty odmawiasz jej zezwolenia, czy aplikacja ta działa zgodnie z zasadami? Może nie.
Ponad 1000 aplikacji dla systemu Android rutynowo prześlizgują się przez ograniczenia Google i zbierają dane dotyczące Twojej lokalizacji i informacje o telefonie, nawet jeśli wyraźnie odmówiłeś pozwolenia na korzystanie z aplikacji.
Wśród przestępców są Shutterfly app, który zebrał dane dotyczące lokalizacji bez zgody użytkownika, oraz aplikacja dla Hong Kongu Disneyland, która uzyskała dostęp do identyfikatorów telefonu, które inne aplikacje były przechowywane bez zabezpieczenia na karcie SD telefonu, chociaż sam Disney mógł nie być świadomy tej praktyki.
"Liczba potencjalnych użytkowników, na których mają wpływ te ustalenia, wynosi setki milionów". badanie kończy się. "Te zwodnicze praktyki umożliwiają deweloperom dostęp do danych osobowych użytkowników bez ich zgody, naruszając prywatność użytkowników i wywołując obawy natury prawnej i etycznej.
Ten rodzaj podstępności będzie trudniejsze dla aplikacji do ściągnięcia w Android 10 Q, z powodu później tego lata. Ale do tego czasu nie będziesz w stanie zaufać, że aplikacje są zgodne z zasadami, które Ty i Google określają.
Do tego czasu przejdź do ustawień aplikacji i wyłącz lokalizację oraz uprawnienia ID dla aplikacji, które nie powinny ich potrzebować, oraz usuń aplikacje, których nie używasz regularnie.
"Aplikacje mogą obchodzić model uprawnień i uzyskać dostęp do chronionych danych bez zgody użytkownika poprzez wykorzystanie zarówno ukrytych, jak i bocznych kanałów". wyjaśnia badania, zatytułowane "50 Ways to Leak Your Data". i dostępne online. "Oba stanowią zagrożenie dla prywatności użytkownika."
Kanały boczne pozwalają aplikacjom unikać modelu uprawnień Androida; ukryte kanały są wykorzystywane, gdy aplikacje, które mają dostęp do danych użytkownika, udostępniają je celowo lub nie, aplikacjom, do których nie jest przeznaczony dostęp.
Po zbadaniu ponad 88.000 aplikacji na Androida, naukowcy znaleźli w sumie 1.325 aplikacji, które wykorzystywały przynajmniej jedną z tych metod do pobierania danych użytkownika, do których nie byli uprawnieni.
Niektóre aplikacje potajemnie gromadziły dane dotyczące lokalizacji w postaci współrzędnych GPS, ale także zbierały adresy MAC stacji bazowych sieci Wi-Fi, które informowały aplikacje, gdzie znajdują się telefony. Adresy MAC są unikalnymi identyfikatorami interfejsu sieciowego, a istnieją publiczne listy znanych adresów MAC punktów dostępu do sieci Wi-Fi.
Aplikacje mają również nieautoryzowany dostęp do adresów e-mail użytkowników, nazw sieci Wi-Fi, numerów telefonów i telefonów oraz unikalnych identyfikatorów kart SIM. Aplikacje prawdopodobnie wykorzystują wszystkie te dane, aby uzyskać wyższe ceny reklam, ponieważ marketerzy chcą wiedzieć, gdzie jesteś. Ale dane te mogą być również wykorzystane do śledzenia ind
Aplikacja Shutterfly wykorzystywała metadane EXIF nagrane przez aplikacje aparatu fotograficznego i osadzone w zdjęciach w celu określenia miejsca wykonania zdjęcia, nawet jeśli użytkownik odmówił Shutterfly dostępu do danych dotyczących lokalizacji.
Shutterfly mógłby prawdopodobnie mieć dostęp do tych danych z niewinnych powodów, jak stwierdzono w artykule naukowym. Zauważył jednak również, że "przypadki, w których aplikacja zawiera zarówno kod dostępu do danych poprzez system zezwoleń, jak i kod implementujący uchylanie się od płacenia podatków, nie pozwalają łatwo przyznać się do niewinnego wyjaśnienia".
Na przykład, dwie chińskie firmy, Baidu i Salmonads, upewniły się, że ich aplikacje regularnie zapisywały poufne dane na karcie SD telefonu, aby inne aplikacje wykonane przez te same firmy mogły je odczytać, czy użytkownik wyraził zgodę na posiadanie tych danych przez inne aplikacje.
Salmonady to firma reklamowo-technologiczna, jak można się domyślać. Ale Baidu jest jedną z największych firm internetowych na świecie, dominującą na chińskim rynku silników wyszukiwania, a także oferującą społeczne sieci i platformy reklamowe. Jest tak wszechobecny w Chinach, jak Google, Facebook i Amazon są w Stanach Zjednoczonych.
Usługa mapowania Baidu, podobna do Google Maps, jest używana przez aplikację Disney's Hong Kong Disneyland do oprowadzania odwiedzających po parku. Usługa mapowania zajęłaby identyfikator telefonu i zapisała go na karcie SD telefonu, tak aby inne aplikacje Baidu mogły go odczytać - i w ten sposób każda aplikacja, która wiedziała, gdzie szukać.
Naukowcy odkryli, że Baidu Maps zrobił to samo z aplikacjami dla Disney's Shanghai Disneyland i dla Samsung's Health app i Android browser.
Chińskie firmy nie były jedynymi rażącymi gwałcicielami. Silnik gry Unity, opracowany przez Unity Technologies z siedzibą w San Francisco i wykorzystujący dziesiątki gier z systemem Android, został znaleziony przez badaczy, którzy wysyłali adresy MAC telefonów na serwery Unity, niezależnie od tego, czy gra miała na to pozwolenie.
Ogólnie rzecz biorąc, raport wskazuje, że Stany Zjednoczone mogą być zmuszone do całkowitej zmiany sposobu rządzenia zachowaniami oprogramowania.
"W Stanach Zjednoczonych zasady ochrony prywatności są regulowane przez ramy "powiadamiania i wyrażania zgody",". notatkę autorów. To, że aplikacje mogą i rzeczywiście obchodzić ramy dotyczące zawiadamiania i zgody, jest kolejnym dowodem niepowodzenia tych ram".
Badanie zostało przeprowadzone przez naukowców z University of California, Berkeley, International Computer Science Institute w Berkeley, IMDEA Networks Institute w Hiszpanii oraz University of Calgary. Trzech z sześciu naukowców pracuje również dla AppCensus, firmy typu non-profit, która bada zachowania prywatności aplikacji na smartfony.
Artykuł został wydany we współpracy z konferencją Federalnej Komisji Handlu PrivacyCon w Waszyngtonie. 27 czerwca.
Ustalenia zostały ujawnione zarówno firmie Google, która ma prawo kopać aplikacje naruszające jej warunki świadczenia usług ze sklepu Google Play, jak i Federalnej Komisji Handlu, która ma prawo do nakładania grzywien na firmy, które rażąco naruszają prywatność użytkowników.
50 sposobów wycieku danych: badanie obejścia aplikacji systemu uprawnień Android-przedstawiono w FTC PrivacyCon 2019
PDF:
Ponad 1000 aplikacji dla systemu Android rutynowo prześlizgują się przez ograniczenia Google i zbierają dane dotyczące Twojej lokalizacji i informacje o telefonie, nawet jeśli wyraźnie odmówiłeś pozwolenia na korzystanie z aplikacji.
Wśród przestępców są Shutterfly app, który zebrał dane dotyczące lokalizacji bez zgody użytkownika, oraz aplikacja dla Hong Kongu Disneyland, która uzyskała dostęp do identyfikatorów telefonu, które inne aplikacje były przechowywane bez zabezpieczenia na karcie SD telefonu, chociaż sam Disney mógł nie być świadomy tej praktyki.
"Liczba potencjalnych użytkowników, na których mają wpływ te ustalenia, wynosi setki milionów". badanie kończy się. "Te zwodnicze praktyki umożliwiają deweloperom dostęp do danych osobowych użytkowników bez ich zgody, naruszając prywatność użytkowników i wywołując obawy natury prawnej i etycznej.
Ten rodzaj podstępności będzie trudniejsze dla aplikacji do ściągnięcia w Android 10 Q, z powodu później tego lata. Ale do tego czasu nie będziesz w stanie zaufać, że aplikacje są zgodne z zasadami, które Ty i Google określają.
Do tego czasu przejdź do ustawień aplikacji i wyłącz lokalizację oraz uprawnienia ID dla aplikacji, które nie powinny ich potrzebować, oraz usuń aplikacje, których nie używasz regularnie.
"Aplikacje mogą obchodzić model uprawnień i uzyskać dostęp do chronionych danych bez zgody użytkownika poprzez wykorzystanie zarówno ukrytych, jak i bocznych kanałów". wyjaśnia badania, zatytułowane "50 Ways to Leak Your Data". i dostępne online. "Oba stanowią zagrożenie dla prywatności użytkownika."
Kanały boczne pozwalają aplikacjom unikać modelu uprawnień Androida; ukryte kanały są wykorzystywane, gdy aplikacje, które mają dostęp do danych użytkownika, udostępniają je celowo lub nie, aplikacjom, do których nie jest przeznaczony dostęp.
Po zbadaniu ponad 88.000 aplikacji na Androida, naukowcy znaleźli w sumie 1.325 aplikacji, które wykorzystywały przynajmniej jedną z tych metod do pobierania danych użytkownika, do których nie byli uprawnieni.
Niektóre aplikacje potajemnie gromadziły dane dotyczące lokalizacji w postaci współrzędnych GPS, ale także zbierały adresy MAC stacji bazowych sieci Wi-Fi, które informowały aplikacje, gdzie znajdują się telefony. Adresy MAC są unikalnymi identyfikatorami interfejsu sieciowego, a istnieją publiczne listy znanych adresów MAC punktów dostępu do sieci Wi-Fi.
Aplikacje mają również nieautoryzowany dostęp do adresów e-mail użytkowników, nazw sieci Wi-Fi, numerów telefonów i telefonów oraz unikalnych identyfikatorów kart SIM. Aplikacje prawdopodobnie wykorzystują wszystkie te dane, aby uzyskać wyższe ceny reklam, ponieważ marketerzy chcą wiedzieć, gdzie jesteś. Ale dane te mogą być również wykorzystane do śledzenia ind
Aplikacja Shutterfly wykorzystywała metadane EXIF nagrane przez aplikacje aparatu fotograficznego i osadzone w zdjęciach w celu określenia miejsca wykonania zdjęcia, nawet jeśli użytkownik odmówił Shutterfly dostępu do danych dotyczących lokalizacji.
Shutterfly mógłby prawdopodobnie mieć dostęp do tych danych z niewinnych powodów, jak stwierdzono w artykule naukowym. Zauważył jednak również, że "przypadki, w których aplikacja zawiera zarówno kod dostępu do danych poprzez system zezwoleń, jak i kod implementujący uchylanie się od płacenia podatków, nie pozwalają łatwo przyznać się do niewinnego wyjaśnienia".
Na przykład, dwie chińskie firmy, Baidu i Salmonads, upewniły się, że ich aplikacje regularnie zapisywały poufne dane na karcie SD telefonu, aby inne aplikacje wykonane przez te same firmy mogły je odczytać, czy użytkownik wyraził zgodę na posiadanie tych danych przez inne aplikacje.
Salmonady to firma reklamowo-technologiczna, jak można się domyślać. Ale Baidu jest jedną z największych firm internetowych na świecie, dominującą na chińskim rynku silników wyszukiwania, a także oferującą społeczne sieci i platformy reklamowe. Jest tak wszechobecny w Chinach, jak Google, Facebook i Amazon są w Stanach Zjednoczonych.
Usługa mapowania Baidu, podobna do Google Maps, jest używana przez aplikację Disney's Hong Kong Disneyland do oprowadzania odwiedzających po parku. Usługa mapowania zajęłaby identyfikator telefonu i zapisała go na karcie SD telefonu, tak aby inne aplikacje Baidu mogły go odczytać - i w ten sposób każda aplikacja, która wiedziała, gdzie szukać.
Naukowcy odkryli, że Baidu Maps zrobił to samo z aplikacjami dla Disney's Shanghai Disneyland i dla Samsung's Health app i Android browser.
Chińskie firmy nie były jedynymi rażącymi gwałcicielami. Silnik gry Unity, opracowany przez Unity Technologies z siedzibą w San Francisco i wykorzystujący dziesiątki gier z systemem Android, został znaleziony przez badaczy, którzy wysyłali adresy MAC telefonów na serwery Unity, niezależnie od tego, czy gra miała na to pozwolenie.
Ogólnie rzecz biorąc, raport wskazuje, że Stany Zjednoczone mogą być zmuszone do całkowitej zmiany sposobu rządzenia zachowaniami oprogramowania.
"W Stanach Zjednoczonych zasady ochrony prywatności są regulowane przez ramy "powiadamiania i wyrażania zgody",". notatkę autorów. To, że aplikacje mogą i rzeczywiście obchodzić ramy dotyczące zawiadamiania i zgody, jest kolejnym dowodem niepowodzenia tych ram".
Badanie zostało przeprowadzone przez naukowców z University of California, Berkeley, International Computer Science Institute w Berkeley, IMDEA Networks Institute w Hiszpanii oraz University of Calgary. Trzech z sześciu naukowców pracuje również dla AppCensus, firmy typu non-profit, która bada zachowania prywatności aplikacji na smartfony.
Artykuł został wydany we współpracy z konferencją Federalnej Komisji Handlu PrivacyCon w Waszyngtonie. 27 czerwca.
Ustalenia zostały ujawnione zarówno firmie Google, która ma prawo kopać aplikacje naruszające jej warunki świadczenia usług ze sklepu Google Play, jak i Federalnej Komisji Handlu, która ma prawo do nakładania grzywien na firmy, które rażąco naruszają prywatność użytkowników.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
50 sposobów wycieku danych: badanie obejścia aplikacji systemu uprawnień Android-przedstawiono w FTC PrivacyCon 2019
PDF:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
