Badanie: aplikacje na telefony komórkowe wyświetlają prywatne dane bardziej niż to konieczne

Aplikacje na telefony komórkowe mają dostęp do prywatnych danych użytkowników i przesyłają je do odległych serwerów. niż wydaje się to bezwzględnie konieczne, podczas gdy użytkownicy mają niewystarczające narzędzia do monitorowania lub kontrolowania takiego dostępu, zgodnie z nowym badaniem przeprowadzonym przez dwie francuskie agencje rządowe.

Francuska Krajowa Komisja ds. Obliczeń i Wolności (CNIL) zbadała zachowanie 189 aplikacji na sześć iPhone'y wyposażone w oprogramowanie monitorujące i narzędzia analityczne opracowane przez Francuski Narodowy Instytut Badań w zakresie Informatyki i Kontroli (INRIA). Celem było poprawienie ogólnego zrozumienia sposobu, w jaki aplikacje wykorzystują prywatne dane, a nie wskazywania palcem na konkretnych programistów, powiedziała prezes CNIL Isabelle Falque-Pierrotin we wtorek na konferencji prasowej, aby zaprezentować wyniki badań.

Zamiast studiować aplikacje w laboratorium W tym samym czasie CNIL zastosowało podejście oparte na prawdziwym świecie, prosząc sześciu ochotników, aby umieścili swoje własne karty SIM w telefonach i użyli ich tak, jak robili to od połowy października do połowy stycznia. Jeden wolontariusz pobrał prawie 100 aplikacji, a jeden dodał tylko pięć do tych zainstalowanych przez Apple.

[Czytaj dalej: Najlepsze telefony z Androidem dla każdego budżetu.]

Jedna na 12 aplikacji uzyskała dostęp do książki adresowej i prawie jedna trzecia uzyskanych informacji o lokalizacji. Średnio podczas badania użytkownicy byli śledzeni w lokalizacji 76 razy dziennie. Foursquare i aplikacja Apple w Mapach zażądały informacji o lokalizacji najczęściej - być może zrozumiałej, biorąc pod uwagę ich cel - tuż obok aplikacji AroundMe i aparatu Apple.

Nazwa iPhone'a została udostępniona przez jedną aplikację na sześć, co naukowcy uznali za niewytłumaczalną, ponieważ służy prawie bezcelowy i daleki jest od unikalnego identyfikatora, chociaż ponieważ często zawiera imię i nazwisko użytkownika, można go uznać za informacje umożliwiające identyfikację osoby.

Aplikacja Facebooka najwyraźniej nie podejmowała żadnych prób uzyskania dostępu do takich prywatnych informacji, ale potem, jak twierdzą naukowcy Nie ma takiej potrzeby, ponieważ jej użytkownicy już tak wiele mówią.

Naukowcy z dwóch francuskich agencji rządowych, CNIL i INRIA, chcą dać użytkownikom Apple iOS dodatkową kontrolę nad sposobem, w jaki aplikacje uzyskują dostęp do ich prywatnych informacji, pozwalając im przejrzyj i zmień ten dostęp w dowolnym momencie.

Dane, do których dostęp uzyskał najwięcej w badaniu, to uniwersalny identyfikator urządzenia iPhone'a (UDID), numer seryjny na stałe związane z konkretnym telefonem. Prawie połowa aplikacji uzyskała do niego dostęp, a co trzecia z nich wysłała go przez Internet bez szyfrowania. Aplikacja jednej dziennej gazety uzyskała dostęp do UDID 1 989 razy podczas badania, wysyłając ją 614 razy do swojego wydawcy.

Rzecznik CNIL, Stéphane Petitcolas, pokazał, jak użytkownicy mogą odzyskać kontrolę dzięki nowemu narzędziu ustawień, aby ograniczyć dostęp aplikacji do wszelkiego rodzaju prywatnych informacje, podobnie jak Apple pozwala użytkownikom kontrolować dostęp do informacji o lokalizacji już dziś. Apple nie widziało jeszcze tego narzędzia, ale INRIA rozważyłaby udostępnienie kodu, gdyby firma była zainteresowana, powiedział Claude Castelluccia, dyrektor zespołu badawczego.

Kupujący aplikacje na iPhone nie mają pojęcia, jakie informacje lub funkcje będą mieli do nich dostęp aplikacje. Sklep Google Play pokazuje, jakie informacje i funkcje aplikacja będzie dostępna, ale wybór jest całkowicie lub wcale. Starsze wersje BlackBerry OS dały użytkownikom więcej swobody w wyborze interfejsów API (interfejsów programowania aplikacji), które umożliwiłyby aplikacji dostęp, co groziło zerwaniem aplikacji, ale w BlackBerry 10 ta szczegółowa kontrola jest dostępna tylko dla rodzimych aplikacji: Aplikacje na Androida po raz kolejny mogą to zrobić lub odejść.

Apple podejmuje kroki, aby zapewnić użytkownikom taką kontrolę. W systemie iOS 5 mogą uniemożliwić poszczególnym aplikacjom dostęp do ich lokalizacji, a w systemie iOS 6 będą miały inną opcję, ponieważ Apple stara się odciążyć programistów od używania identyfikatora UDID do identyfikacji użytkowników i kierowania reklam.

Zamiast tego Apple chce, aby programiści korzystali z identyfikatora reklamowego wprowadzonego w systemie iOS 6. Nie jest on trwale powiązany z telefonem lub osobą, a użytkownicy, którzy nie chcą być śledzeni, mogą go zmienić w dowolnym momencie - o ile tylko pomyślą, spójrz w Ustawienia / Ogólne / Informacje / Reklama zamiast bardziej oczywistych Ustawień / Prywatności.

Ta opcja nie była dostępna dla uczestników badania CNIL-INRIA, która z przyczyn technicznych została przeprowadzona za pomocą iOS 5. Następna faza badań będzie wykorzystywać iOS 6, teraz, gdy INRIA zaktualizowała swoją aplikację monitorującą, aby korzystać z nowej wersji.

Aby monitorować, w jaki sposób aplikacje uzyskują dostęp do prywatnych informacji, INRIA musiała jailbreak iPhone'ów i zainstalować specjalną aplikację do przechwytywania Apple API, dzięki którym aplikacje żądają dostępu do prywatnych informacji, powiedział badacz INRIA Vincent Roca. Naukowcy zdecydowali się pracować na iPhone'ach, ponieważ mieli już doświadczenie w projektowaniu na iOS. Obecnie opracowują aplikację o podobnych możliwościach dla telefonów z systemem Android, którą muszą zrootować, aby ją zainstalować.

Aplikacja monitorująca INRIA zapisała każde przechwycone żądanie w bazie danych na telefonie wraz z żądanymi prywatnymi informacjami, tak aby może zidentyfikować go w ruchu wychodzącym w sieci. Aplikacja iOS 5 może monitorować nieszyfrowany ruch sieciowy, ale wersja dla systemu iOS 6 może teraz podłączyć interfejsy API sieci przed zaszyfrowaniem ruchu, powiedział Roca.

Aplikacja przekazała również przechwycone żądania do centralnego serwera do badania - bez powiązane informacje prywatne, ponieważ nawet podmioty eksperymentalne mają prawo do prywatności, podkreślili naukowcy.

INRIA i CNIL dopiero zaczynają analizować dane zebrane z sześciu iPhone'ów: ma 9 gigabajtów, obejmujących 7 milionów prywatności Wydarzenia w okresie trzech miesięcy.

Badanie wykazało, że dostęp do prywatnych danych jest przypadkowy. Aplikacja identyfikująca najbliższy basen w Paryżu (miasto ma 38 w promieniu około 5 kilometrów) uzyskała dostęp do informacji o lokalizacji znacznie więcej niż było to konieczne do wykonania jego funkcji, najwyraźniej z powodu błędu w programowaniu, powiedział CNIL Petitcolas.