Vídeo: EXCHANGE GOLD COIN TO BOUND COUPON , BISA ?!? - UTOPIA ORIGIN ANDROID #48 (Setembre 2024)
Hem analitzat diverses aplicacions per a Android que recopilen, per parafrasejar a John Hodgman, més informació de la que necessiten. També hem estudiat diverses aplicacions que gestionen aquesta informació malament, permetent extreure-la o interceptar-la fàcilment. Aquesta setmana, Appthority ens mostra una aplicació que fa les dues coses i, a més, transmet la vostra informació a qualsevol altre servidor amb el qual contacti.
L’aplicació de cupons
Appthority ens ha proposat una aplicació anomenada The Coupons App actualment a Google Play, que inclou un conjunt d’eines per connectar-vos amb ofertes sobre tot, des de restaurants fins a gas. Però en la seva anàlisi, Appthority va trobar que The Coupons App "envia contínuament informació privada a la xarxa sense protegir-la amb xifratge". Inclou l'ID del dispositiu o el número IMEI, el número de telèfon, la vostra adreça de correu electrònic, el codi postal i la geolocalització exacta del dispositiu.
Moltes aplicacions recopilen aquest tipus d’informació, algunes per a la seva pròpia anàlisi i altres per vendre a xarxes d’anuncis de tercers. Malauradament, Android no us permet controlar a quines informacions poden accedir les aplicacions. Només hi ha un únic avís de permisos tot o res en el moment de baixar una aplicació. En no xifrar la informació, el problema és complicat, ja que algú que visitava a la xarxa el podria fer durant un atac de mà al mig.
Malauradament, aquest no és l'últim dels pecats de l'aplicació Coupons. "Les dades privades s'envien al servidor utilitzat per l'aplicació, però també filtra la informació privada al camp" Referer ", va dir Appthority, referint-se a un camp de capçalera HTML no escrit que identifica l'adreça de la pàgina web en la qual es troba actualment. a la pàgina web a la que us dirigiu.
Suposem que busqueu "farmàcia" i l'aplicació Coupons utilitza una imatge de portada de llibres d'Amazon als resultats de la cerca. Quan l’aplicació es comunica amb Amazon per obtenir aquesta imatge, va incloure molta informació personal a l’intercanvi. Aquí teniu l'exemple d'Appthority, atrevit amb èmfasi. Tingueu en compte que l’adreça de correu electrònic i el número de telèfon són clarament visibles.
Feu clic per obtenir una imatge més gran
Appthority va afegir, "si l'aplicació xifrava adequadament l'enllaç als seus servidors amb les dades privades (ssl), el començament no seria establert ni enviat a llocs web externs." Appthority assenyala que l'aplicació Coupons possiblement està filtrant aquesta informació a altres servidors sense saber-ho.
Com es pot mantenir segur?
L’aplicació Coupons subratlla un dels majors problemes amb la seguretat mòbil: que l’usuari final (tu) no sempre sap quines activitats potencialment perilloses pot realitzar una aplicació. Tot i que llegiu els permisos sol·licitats per The Coupons App, no sabríeu per què es recollia informació o per què es filtraven les vostres dades a altres servidors.
A més, les limitacions d’Android no permeten controlar quines aplicacions poden accedir a certa informació, com ara la ubicació actual. En el cas de l’aplicació The Coupons, això significa que simplement utilitzar-la i altres amb problemes similars posa en risc la informació.
Ara com ara, sembla que The App Cupons s’hauria d’evitar fins que els desenvolupadors solucionin aquests problemes de seguretat.
