Дом Securitywatch Модель разрешения Android отстой по сравнению с Apple IOS

Модель разрешения Android отстой по сравнению с Apple IOS

Видео: The Birdcage - Mystery Puzzle Game all free levels walkthrough [iOS/Android] (Ноябрь 2024)

Видео: The Birdcage - Mystery Puzzle Game all free levels walkthrough [iOS/Android] (Ноябрь 2024)
Anonim

Мы отказываемся от значительной безопасности и конфиденциальности, когда загружаем приложения из Apple App Store и Google Play. Мы редко останавливаемся, чтобы тщательно исследовать, что приложения делают на наших устройствах и с нашими данными, и забываем, что разработчики не отдают приоритет конфиденциальности пользователей при создании приложения.

«Я не думаю, что люди понимают, что мы не покупатели этих бесплатных приложений. Рекламодатели», - сказал Майкл Саттон, вице-президент Zscaler по исследованиям в области безопасности.

По словам Саттона, разработчики думают о том, чего хотят рекламодатели при создании этих приложений, и это информация о пользователях и возможность отслеживать активность пользователей. Поэтому, когда дело доходит до разрешений приложений, разработчики ничто не мешает разработчикам запрашивать больше, чем им нужно. Большинство людей не читают список разрешений, прежде чем принять их все для установки приложения, и люди обычно не жалуются, если приложение, кажется, запрашивает слишком много. Есть случаи, когда разработчики запрашивают разрешения независимо от того, действительно ли они им нужны.

На самом деле, "нет никаких препятствий для них, особенно на стороне Android дома", сказал Саттон.

Результаты исследований ZScaler

Исследователи из Zscaler ThreatLabz проанализировали 550 приложений для iOS и 75 000 приложений для Android, чтобы понять, как две мобильные операционные системы подходят к конфиденциальности и безопасности. В своем статическом анализе команда искала фактические примеры в коде, где были вызваны функции, требующие определенных уровней доступа. Таким образом, они могли убедиться, что функция фактически использует запрашиваемое разрешение.

Полученные результаты являются довольно глубокими и захватывающими, например, тот факт, что более 60 процентов приложений iOS в категории «Игры и развлечения» запрашивают разрешение на функции телефонии и географическое местоположение. Zscaler назвал этот вывод «тревожным», отметив, что в последнее время появляются сообщения о том, что приложения следят за действиями пользователей. Это число выше для приложений Lifestyle, при этом 81% запрашивают функциональность. В целом, 34 процента приложений iOS запросили разрешение на доступ к адресной книге, 83 процента - доступ к электронной почте, а 46 процентов могли прочитать календарь пользователя.

«Поскольку 97% приложений используют по крайней мере одну из отслеживаемых функций (адресная книга, телефония, местоположение, календарь электронной почты или UUID), как уже говорилось, мы потребляем столько же, если не больше, чем потребляем», - написал Zscaler блог.

Со стороны Android, Zscaler обнаружил, что 68 процентов приложений, которые запрашивают разрешения на SMS, запрашивают возможность отправлять SMS-сообщения. Это то, о чем нужно беспокоиться, учитывая популярность мошенничества с SMS и спама, заставляющего пользователей отправлять сообщения на премиальные номера. Еще 28 процентов приложений с разрешениями на SMS также запрашивают возможность чтения SMS-сообщений. Это также еще одна проблема, когда вы учитываете количество сайтов мобильного банкинга и других служб, которые отправляют коды через SMS для двухфакторной аутентификации или для подтверждения конкретных транзакций. «Это очень рискованное разрешение на предоставление приложения», - сказал Саттон, отметив, что Apple даже не предоставляет это разрешение.

Хорошо, что на данный момент менее 10 процентов приложений запрашивают разрешения на SMS. Но до сих пор.

Из проанализированных приложений для Android Zscaler обнаружил, что 36 процентов запрашивают информацию о местоположении, а 46 процентов - разрешение состояния телефона, которое позволяет приложениям получать доступ к информации SIM-карты и уникальному идентификатору IMEI телефона.

«Это тонкий баланс между тем, что мы готовы отказаться в обмен на бесплатное приложение», - сказал Саттон.

Android подвергает пользователей большему риску

Самая большая проблема, с точки зрения Саттона, заключалась в том, что Android не давал пользователям никакого контроля над тем, какие разрешения могут иметь приложения. «Я не фанат модели« все или ничего »в Android, - сказал Саттон, назвав ее« опасной ».

Это немного грустно, потому что Android на самом деле идет дальше, чем iOS, предоставляя разработчикам очень детальный уровень контроля. Однако этот уровень контроля не распространяется на само приложение, поскольку, если пользователю не нравятся конкретные разрешения, запрашиваемые приложением, пользователь не может установить приложение. Apple, с другой стороны, устанавливает приложение для iOS, а затем, когда требуется определенная функциональность, запрашивает разрешение у пользователя.

«Apple одно делает лучше», - сказала Саттон. Он сказал, что «превосходный подход» к разрешениям в модели iOS лучше защищает потребителей.

По словам Саттона, Apple также боролась за то, чтобы разработчики не отслеживали устройства. Первоначально разработчикам было разрешено запрашивать уникальный UDID устройства, который рекламодатели могли использовать для создания профилей и понимания того, какие приложения используют пользователи. Несмотря на то, что Apple запретила использование UDID, Zscaler обнаружил, что 38 процентов приложений iOS в своем анализе все еще имели доступ. Apple также запретила разработчикам отслеживать MAC-адреса. UUID является предпочтительным подходом, так как он представляет собой уникальное значение, генерируемое для приложения и устройства, не позволяя рекламодателям отслеживать пользователей в разных приложениях.

Apple «действительно боролась за то, чтобы помешать разработчикам отслеживать устройства», сказал Саттон. «Google ничего не сделал в этой области».

Модель разрешения Android отстой по сравнению с Apple IOS