Бизнес потребителите рискуват загуба на данни чрез 78% от мобилните приложения

Много мобилни приложения се предлагат с множество реклами, възможност за свързване към социални медии или и двете. Те могат да изглеждат като безобидни добавки, поставени в приложението с цел печалба за разработчика на приложението. Тези функции обаче могат да имат достъп до PII на потребителя или до лична информация. Възможността на добавките за достъп до чувствителна информация е опасна не само защото функциите й могат да събират чувствителна информация, след като потребителят одобри разрешенията на приложението, но информацията може да бъде изложена и без знанието на потребителя.

Изследване на Mojave Networks, стартиращо технологично осигуряване със седалище в Сан Матео, Калифорния, използва техните лаборатории за заплаха за тестване на 11 милиона URL адреси, които изпращат и получават данни в над 2000 приложения, инсталирани от неговите клиенти, като проучването се фокусира върху бизнес потребителите. След това тези URL адреси бяха поставени в категории въз основа на връзката им с една от трите библиотеки: рекламни мрежи, API на социални медии или API за анализи. Резултатите показаха, че 78 процента от изтеглените приложения са свързани с една от трите групи, което излага на потребителите риск от неизвестен достъп до личната им информация или още по-лошо, загуба на лични или бизнес данни.

Липса на отчетност

Още по-шокиращото е как тези библиотеки се реализират. Те се използват от разработчика, който получава кода от трета страна. Тези кодове се използват главно за подпомагане на събирането на приходи от реклами, проследяване на статистиката на потребителите или интегриране със социалните медии. Докладът споменава, че има хиляди от тези библиотеки на разположение и в по-голямата си част тези кодове на трети страни обикновено не събират PII. Не на всички обаче може да се вярва. В повечето случаи програмистът обикновено прилага кода с малко или никакво преразглеждане на съдържанието му, оставяйки ви решението да се доверите сляпо на преценката на програмиста и да рискувате шанса да разрешите на тези библиотеки да имат достъп до вашите данни без ваше знание.

За да влоши нещата, потребителят е обвързан от специфичните правила на библиотеката, само като изтегли и инсталира приложението, без изобщо да види подробности за правилата. От бизнес гледна точка това може да доведе до липса на отчетност и да затрудни ИТ администраторите да решат кое приложение представлява риск за сигурността.

Средно всяко приложение има около девет разрешения. Пет от тях се считат за много опасни, тъй като могат да осигурят достъп до информация, която в противен случай би била запазена поверителност. Например Airpush, една от водещите рекламни библиотеки в проучването, събира следните данни:

• Android ID
• Марка на устройство и модел
• Тип и версия на мобилния браузър
• IP адрес
• Генериран от Airpush идентификационен номер
• Списък на мобилните приложения, инсталирани на телефона.
• „Други технически данни за вашето устройство.“

Ако му дадете разрешение за това, Airpush може да събира:

• Точно геолокация, включително държава и пощенски код.
• Идентификационни номера на устройството, включително международния идентификационен номер за мобилно оборудване (IMEI), серийният номер на устройството и адреса за контрол на достъпа до медия (MAC).
• История на браузъра и други.

Потребителите могат да се откажат от част от събирането на данни, като например списъка с инсталирани мобилни приложения и историята на браузъра.

Ако инсталирате приложение, което използва Airpush, то може да получи достъп до цялата тази информация без ваше знание. Най-лошото е, че този широк достъп до частна информация е типичен и няма нищо ново на пазара на мобилни приложения.

Превенция на потребителите

Има само толкова много, че потребителят може да направи по отношение на разрешаване и отказване на разрешения за всяко приложение, особено ако иска да получи пълния потенциал на приложението. За щастие има две страхотни приложения, които се занимават с откриването на тези потенциални нарушения.

Ако Lookout определи, че дадена рекламна мрежа действа самостоятелно, без съгласието на потребителя, тя класифицира мрежата като рекламен софтуер. Освен това той предоставя информация за рекламния софтуер, включително неговата идентификация, функция и потенциална вреда за потребителя. viaProtect е друг чудесен инструмент, предоставящ визуална графика за това къде отиват потребителските данни по отношение на мрежата и държавата и каква част от тях е криптирана. Това позволява на потребителя да вземе информирано решение дали да изтрие или не определени приложения, които дават твърде много информация.

Сигурността е от първостепенно значение в дигиталната ера. Приложения като Lookout и viaProtect позволяват на потребителите да разберат дали данните им са изложени на риск, но все още е трудно да се предотврати достъпът на библиотеките до потребителски PII. Засега четенето на дребен шрифт и вземането на информирано решение е най-добрият начин за противодействие на нежелания достъп на мобилно устройство.