Vídeo: History of the iPhone (Setembre 2024)
Renunciem a molta seguretat i privacitat quan descarreguem aplicacions de l’App Store i de Google Play. Rarament ens aturem a examinar el que fan les aplicacions als nostres dispositius i amb les nostres dades i oblidem que els desenvolupadors no prioritzen la privadesa dels usuaris quan creen l'aplicació.
"El que no crec que la gent s'adoni que no som el client d'aquestes aplicacions gratuïtes. Els anunciants ho són", va dir a Security Watch Michael Sutton, el vicepresident de la recerca en seguretat de Zscaler.
Els desenvolupadors estan pensant en què volen els anunciants quan creen aquestes aplicacions, i això és informació sobre els usuaris i la capacitat de fer el seguiment de l’activitat dels usuaris, va dir Sutton. Per tant, quan es tracta de permisos d'aplicacions, no hi ha res que els desenvolupadors sol·licitin més del que necessiten. La majoria de la gent no llegeix la llista de permisos abans d’acceptar-los tots per instal·lar l’aplicació i, generalment, la gent no es queixa si l’aplicació sembla que demana massa. Hi ha casos en què els desenvolupadors demanen permisos independentment de si realment els necessiten.
De fet, no hi ha "desincentiu perquè no ho facin, sobretot a la part de Android de la casa", va dir Sutton.
Conclusions de la recerca ZScaler
Investigadors de Zscaler ThreatLabz van analitzar 550 aplicacions iOS i 75.000 aplicacions Android per entendre com els dos sistemes operatius mòbils s’acosten a la privadesa i la seguretat. En la seva anàlisi estàtica, l’equip va buscar instàncies reals del codi on s’anomenessin funcions que requerien nivells específics d’accés. D’aquesta manera, van poder comprovar que la funció realment utilitzava el permís que havia demanat.
Les troballes són força profundes i fascinants, com el fet que més del 60 per cent de les aplicacions iOS de la categoria "Joc i entreteniment" sol·liciten permís per a funcions de telefonia i geolocalització. Zscaler va considerar que aquesta troballa era "preocupant" i va assenyalar que hi ha hagut informes recents d'aplicacions que espien l'activitat dels usuaris. Aquest nombre és superior a les aplicacions de l'estil de vida, amb un 81 per cent que sol·liciten funcionalitats. En conjunt, el 34 per cent de les aplicacions d’iOS van demanar permís per accedir a la llibreta d’adreces, el 83 per cent van sol·licitar accés a correu electrònic i el 46 per cent podien llegir el calendari de l’usuari.
"Amb el 97 per cent d'aplicacions que utilitzen almenys una de les funcionalitats que es fan un seguiment (llibreta d'adreces, telefonia, ubicació, calendari de correu electrònic o UUID), segons s'ha afirmat, estem consumint tant, si no més, que el que consumim", va escriure Zscaler a el bloc
Per part d'Android, Zscaler va comprovar que el 68 per cent de les aplicacions que sol·liciten permisos per SMS demanen la possibilitat d'enviar missatges SMS. Això és una cosa de què preocupar-se, tenint en compte la popularitat del frau de SMS i el correu electrònic de correu brossa que els usuaris envien missatges a números premium. Un altre 28 per cent de les aplicacions amb permisos de SMS també sol·liciten la possibilitat de llegir missatges SMS. Aquest és també un altre tema de preocupació quan es té en compte el nombre de llocs de banca mòbil i altres serveis que envien codis per SMS per autenticació de dos factors o per confirmar transaccions específiques. "És un permís molt arriscat per concedir una aplicació", va dir Sutton, assenyalant que Apple ni tan sols concedeix aquest permís.
El bo és que de moment, menys del 10 per cent de les aplicacions demanen permisos per SMS. Però encara.
De les aplicacions d'Android analitzades, Zscaler va trobar que el 36 per cent va sol·licitar informació sobre la ubicació i el 46% va sol·licitar el permís d'estat del telèfon, cosa que permet que les aplicacions accedeixin a la informació de la targeta SIM i l'identificador IMEI únic del telèfon.
"És un equilibri delicat entre allò que estem disposats a renunciar a canvi d'una sol·licitud gratuïta", va dir Sutton.
Android exposa els usuaris a més riscos
El problema més gran, pel que fa a Sutton, era el fet que Android no donava als usuaris cap control sobre els permisos que podrien tenir les aplicacions. "No sóc fan del model all-or-none a Android", va dir Sutton, titllant-lo de "perillós".
És una mica trist, perquè Android realment va més enllà de iOS, ja que proporciona als desenvolupadors nivells de control molt granulars. Tanmateix, aquest nivell de control no es transmet a l’aplicació mateixa, ja que si l’usuari no li agrada un permís específic que sol·licita l’aplicació, l’usuari no pot instal·lar l’aplicació. Apple, d’altra banda, instal·la l’aplicació iOS i, quan es necessita una funcionalitat específica, demana permís a l’usuari.
"Això és una cosa que Apple fa millor", va dir Sutton. Va dir que "l'enfocament superior" dels permisos sota el model iOS fa un millor treball protegint els consumidors.
Apple ha lluitat també per evitar que els desenvolupadors segueixin dispositius, va dir Sutton. Els desenvolupadors podien consultar inicialment l'UDID exclusiu del dispositiu, que els anunciants podrien utilitzar per crear perfils i entendre el tipus d'aplicacions que utilitzaven els usuaris. Tot i que Apple ha prohibit l’ús de UDID, Zscaler va trobar que el 38 per cent de les aplicacions d’iOS en la seva anàlisi encara tenien accés. Apple també ha prohibit als desenvolupadors rastrejar adreces MAC. L’UUID és l’enfocament preferit ja que és un valor únic generat per aplicació i dispositiu, que impedeix als anunciants seguir els usuaris a través de les aplicacions.
Apple ha "realment lluitat per evitar que els desenvolupadors segueixin dispositius", va dir Sutton. "Google no ha fet res en aquest terreny."
