Vídeo: Descàrrega i instal·lació de l'idCAT en programari (sol·licitat en una entitat de registre) (Setembre 2024)
És possible que algunes aplicacions financeres fiscals i relacionades per a Android i iOS puguin recopilar i compartir dades de l'usuari innecessàriament. Té alguna d’aquestes aplicacions al dispositiu mòbil?
Appthority va analitzar diverses aplicacions de gestió financera d’impostos per a dispositius Android i iOS i va identificar un bon nombre de comportaments de risc, com ara el seguiment de la ubicació de l’usuari, l’accés a la llista de contactes i la compartició de dades d’usuaris amb tercers, va dir a SecurityWatch Domingo Guerra, president i fundador de Appthority.
Moltes aplicacions transmeten dades d'usuaris com ara la ubicació i la informació de contactes extreta de la llibreta d'adreces a xarxes d'anuncis de tercers, s'ha trobat Appthority. La major part de la comunicació amb les xarxes d’anuncis va tenir lloc en un text clar. Tot i que tenia sentit que l’aplicació H&R Block tingués accés a la ubicació de l’usuari, ja que l’aplicació permet als usuaris trobar la botiga més propera, no estava molt clar per què les aplicacions restants necessitaven aquesta informació.
"La resta només comparteixen aquesta ubicació amb les xarxes d'anuncis", va dir Guerra.
La llista d’aplicacions incloïa “aplicacions d’impostos de grans noms i alguns de més petits nouvinguts” com H&R Block TaxPrep 1040EZ i les aplicacions completes de H&R Block, TaxCaster i My Tax Refund d’Intuit (la companyia de TurboTax), Calculadora d’impostos sobre la renda 2012 d’un desenvolupador anomenat SydneyITGuy, i l’impost federal 1040EZ de RazRon, va dir Guerra. Appthority va realitzar la seva anàlisi mitjançant el seu propi servei automatitzat de gestió de riscos d'aplicacions mòbils.
Debilitat a cap xifrat
Les aplicacions tenien generalment un xifrat feble i optaven per protegir selectivament part del trànsit de dades, a diferència del xifrat de tot el trànsit, va trobar Appthority. Algunes de les aplicacions, Guerra no va especificar quines, van utilitzar xifradors de xifrat predictius en lloc d’aprofitar els randomitzadors de xifratge. Les aplicacions "sense nom", com la de RazRon, no utilitzaven el xifrat del tot.
Una de les aplicacions de nom més grans incloïa les rutes del fitxer al codi font a la informació de depuració de l'executable. Les rutes de fitxers solen incloure noms d’usuari i altra informació que es podria utilitzar per orientar el desenvolupador o empresa d’aplicacions, va dir Appthority. Novament, Guerra no va identificar l’aplicació pel seu nom.
Si bé "en general no és un risc important filtrar aquesta informació", "s'hauria d'evitar si és possible", va dir Guerra.
Exposar dades
Algunes de les aplicacions ofereixen una funció on l'usuari podia fer una foto del W2 i, després, es va guardar la imatge al "rotllo de càmera" del dispositiu, es va trobar Appthority. Això podria ser un problema greu per als usuaris que carreguen o se sincronitzen automàticament amb serveis al núvol com iCloud o Google+, ja que es desa aquesta imatge a ubicacions insegures i potencialment exposades.
Tant la versió iOS com Android de l’aplicació H&R Block 1040EZ utilitzaven xarxes d’anuncis com AdMob, JumpTab i TapJoyAds, però la versió completa de l’aplicació H&R Block no mostra anuncis, ha indicat Appthority.
iOS vs Android
Va dir que no hi havia moltes diferències en els tipus de conductes de risc entre les versions iOS i Android de la mateixa aplicació, va dir Guerra. La majoria de les diferències es van referir a com gestiona els permisos el sistema operatiu. Android requereix que l’aplicació mostri tots els permisos abans que l’usuari pugui instal·lar i executar l’aplicació tot d’una o de res. En canvi, iOS demana permís a mesura que es presenta la situació. Per exemple, l’aplicació iOS no tindrà accés a la ubicació de l’usuari fins que l’usuari intenti utilitzar la funció de localitzador de botiga.
Sota les darreres regles, iOS 6 prohibeix als desenvolupadors d'aplicacions fer el seguiment d'usuaris en funció del número d'identificació del dispositiu i els números UDID o EMEI. Aquesta pràctica encara és habitual entre les aplicacions d'Android. La versió iOS de l’aplicació H&R Block 1040EZ no fa el seguiment de l’usuari, però la versió d’Android de la mateixa aplicació ho fa recopilant l’ID del dispositiu mòbil, la informació sobre la creació i la versió de la plataforma mòbil i l’ID del subscriptor del dispositiu mòbil, va dir Guerra.
L’aplicació completa H&R Block a les sol·licituds d’Android i pot accedir a una llista de totes les altres aplicacions instal·lades al dispositiu. La versió iOS de l'aplicació no té accés a aquesta informació perquè el sistema operatiu no ho permet.
Arriscat o no?
En aquest moment no hi ha res arriscat, aquestes aplicacions no transmeten contrasenyes i registres financers en un text clar. Tanmateix, es manté el fet que les aplicacions comparteixen les dades dels usuaris innecessàriament. A excepció d’una aplicació, cap de les altres aplicacions no oferia una funció de localització de botigues. Per què, doncs, aquestes altres aplicacions necessitaven accés a la ubicació de l’usuari? Per què aquestes aplicacions necessitaven accés als contactes de l’usuari? No sembla necessari preparar impostos.
Appthority va mirar algunes aplicacions antigues "per demostrar un punt", va dir Geurra. Moltes d’aquestes aplicacions tenen una data de caducitat de tipus, com les aplicacions d’impostos del 2012, en què es preveu que els usuaris ja no l’utilitzin un cop l’hagin acabat d’utilitzar.
Aquestes "aplicacions d'un sol ús" rarament es treuen del mercat i els usuaris haurien de ser conscients que aquestes aplicacions tenen accés a les dades dels dispositius de l'usuari.
