Какво прави вашето данъчно приложение с вашите данни?

Някои приложения за данъци и свързани с финансирането за Android и iOS може да събират и споделят потребителски данни ненужно. Имате ли някое от тези приложения на мобилното си устройство?

Appthority анализира няколко приложения за финансово управление на данъци за устройства с Android и iOS и идентифицира няколко рискови поведения, включително проследяване на местоположението на потребителите, достъп до списъка с контакти и споделяне на потребителски данни с трети страни, заяви пред SecurityWatch Доминго Гуера, президент и основател на Appthority.

Много от приложенията предават потребителски данни като местоположение и информация за контакти, изтеглени от адресната книга до рекламни мрежи на трети страни, Appthority намери. По-голямата част от комуникацията с рекламните мрежи беше в ясен текст. Въпреки че има смисъл приложението H&R Block да има достъп до местоположението на потребителя, тъй като приложението позволява на потребителите да намерят най-близкия магазин, не беше много ясно защо останалите приложения се нуждаят от тази информация.

"Останалите просто споделят това местоположение с рекламни мрежи", каза Гуера.

Списъкът с приложения включваше „приложения за големи данъци и някои по-малки новопристигнали“, като H&R Block TaxPrep 1040EZ и пълните H&R Block приложения, TaxCaster и My Tax Refund от Intuit (компанията зад TurboTax), калкулатор на данъка върху дохода 2012 от разработчика на име SydneyITGuy и федерален данък 1040EZ от RazRon, каза Guerra. Appthority извърши анализа си, използвайки собствена автоматизирана услуга за управление на риска от мобилни приложения.

Слабо без кодиране

Приложенията обикновено имаха слабо криптиране и избраха избирателно да защитят част от трафика на данни, за разлика от криптирането на целия трафик, констатира Appthority. Някои от приложенията - Guerra не посочи кои - използваха предсказуеми шифриращи шифри, вместо да използват произволни криптомери. Приложенията без име, като тази от RazRon, изобщо не използваха криптиране.

Едно от приложенията с голямо име включваше файлови пътища до изходния код в информацията за отстраняване на грешки в изпълнимия файл. Filepaths често включват потребителски имена и друга информация, която би могла да се използва за насочване към разработчика на приложение или компания, съобщи Appthority. Отново Гуера не идентифицира приложението по име.

Въпреки че "по принцип не е основен риск от изтичане на тази информация", "тя трябва да бъде избягвана, ако е възможно", каза Гуера.

Излагане на данни

Някои от приложенията предлагаха функция, при която потребителят може да направи снимка на W2, а след това изображението беше запазено в „ролката на камерата“ на устройството, откри Appthority. Това може да бъде сериозен проблем за потребителите, които автоматично качват или синхронизират с облачни услуги като iCloud или Google+, тъй като това изображение се записва на несигурни местоположения и е потенциално изложено.

И версиите за iOS и Android на приложението H&R Block 1040EZ използваха рекламни мрежи като AdMob, JumpTab и TapJoyAds, но пълната версия на приложението H&R Block не показва реклами, отбеляза Appthority.

iOS срещу Android

Нямаше много разлики във видовете рискови поведения между версиите за iOS и Android на едно и също приложение, заяви Guerra. Повечето от разликите се свеждат до това как операционната система обработва разрешенията. Android изисква приложението да показва всички разрешения, преди потребителят да може да инсталира и стартира приложението при подход „всичко или нищо“. За разлика от това, iOS иска разрешение, когато възникне ситуация. Например приложението за iOS няма да има достъп до местоположението на потребителя, докато потребителят не се опита да използва функцията на локатора на магазина.

Съгласно най-новите правила iOS 6 забранява на разработчиците на приложения да следят потребителите въз основа на идентификационния номер на устройството им и UDID или EMEI номера. Тази практика все още е често срещана сред приложенията за Android. Версията на iOS на приложението H&R Block 1040EZ не проследява потребителя, но версията на Android на същото приложение прави, като събира идентификатора на мобилното устройство, изграждането на мобилната платформа и версията и идентификационния номер на абоната на мобилното устройство, заяви Guerra.

Пълното приложение H&R Block при заявки за Android и има достъп до списък на всички други приложения, инсталирани на устройството. Версията на iOS на приложението няма достъп до тази информация, тъй като операционната система не позволява това.

Рисково или не?

Към този момент няма нищо конкретно рисковано, тези приложения не предават ясни текстове пароли и финансови записи. Фактът обаче остава, че приложенията споделят потребителски данни ненужно. С изключение на едно приложение, нито едно от другите приложения не предлага функция за локализиране на магазина. Защо тогава тези други приложения се нуждаят от достъп до местоположението на потребителя? Защо тези приложения се нуждаеха от достъп до контактите на потребителя? Това не изглежда необходимо за подготовката на данъците.

Appthority погледна някои стари приложения, "за да докаже точка", каза Геура. Много от тези приложения имат вид на изтичане на срока на годност - като данъчните приложения за 2012 г., където потребителите се очаква да не го използват вече, след като приключат с него.

Тези „приложения за еднократна употреба“ рядко се изтеглят от пазара и потребителите трябва да са наясно, че тези приложения имат достъп до данни на устройствата на потребителя.