Дом Securitywatch Бизнес-пользователи рискуют потерять данные в 78% мобильных приложений

Бизнес-пользователи рискуют потерять данные в 78% мобильных приложений

Видео: osito gomi version completa en español (Ноябрь 2024)

Видео: osito gomi version completa en español (Ноябрь 2024)
Anonim

Многие мобильные приложения поставляются с огромным количеством рекламы, возможностью подключения к социальным сетям или и тем, и другим. Они могут показаться безопасными дополнениями, размещаемыми в приложении с целью получения прибыли для разработчика приложения. Однако эти функции могут иметь возможность доступа к персональной информации пользователя или личной информации. Возможность надстроек получать доступ к конфиденциальной информации опасна не только потому, что ее функции могут собирать конфиденциальную информацию после того, как пользователь утвердит разрешения приложения, но эта информация также может быть раскрыта без ведома пользователя.

Исследование, проведенное Mojave Networks, технологическим стартапом, базирующимся в Сан-Матео, штат Калифорния, использовало свои лаборатории угроз для тестирования 11 миллионов URL-адресов, которые отправляют и получают данные в более чем 2000 приложениях, установленных его клиентами, при этом исследование было сосредоточено на бизнес-пользователях. Затем эти URL-адреса были распределены по категориям в зависимости от их подключения к одной из трех библиотек: рекламных сетей, API социальных сетей или API аналитики. Результаты показали, что 78 процентов загруженных приложений подключены к одной из трех групп, что подвергает пользователей риску неизвестного доступа к их личной информации или, что еще хуже, к потере личных или деловых данных.

Недостаток ответственности

Еще более шокирующим является то, как реализованы эти библиотеки. Они используются разработчиком, который получает код от третьей стороны. Эти коды в основном используются для сбора доходов от рекламы, отслеживания статистики пользователей или интеграции с социальными сетями. В отчете упоминается, что доступны тысячи таких библиотек, и по большей части эти сторонние коды обычно не собирают PII. Однако не всем им можно доверять. В большинстве случаев разработчик обычно реализует код практически без анализа того, что в нем содержится, и у вас остается решение слепо доверять суждениям разработчика и рисковать возможностью разрешить этим библиотекам получать доступ к вашим данным без вашего ведома.

Что еще хуже, пользователь связан определенными политиками библиотеки, просто загружая и устанавливая приложение, даже не видя деталей политики. С точки зрения бизнеса это может привести к отсутствию подотчетности и усложнить для ИТ-администраторов решение о том, какое приложение представляет угрозу безопасности.

В среднем каждое приложение имеет около девяти разрешений. Пять из них считаются очень опасными, поскольку они могут обеспечить доступ к информации, которая в противном случае была бы конфиденциальной. Например, Airpush, одна из лучших рекламных библиотек в исследовании, собирает следующие данные:

    • Android ID
    • Устройство и модель устройства
    • Тип и версия мобильного браузера
    • айпи адрес
    • ID, сгенерированный Airpush
    • Список мобильных приложений, установленных на телефоне.
    • «Другие технические данные о вашем устройстве.»

Если вы даете разрешение на это, Airpush также может собирать:

    • Точное географическое положение, включая страну и почтовый индекс.
    • Идентификаторы устройства, включая международный идентификатор мобильного оборудования (IMEI), серийный номер устройства и адрес управления доступом к среде (MAC).
    • История браузера и многое другое.

Пользователи могут отказаться от сбора некоторых данных, таких как список установленных мобильных приложений и история браузера.

Если вы устанавливаете приложение, которое использует Airpush, оно может получить доступ ко всей этой информации без вашего ведома. Хуже всего то, что такой широкий доступ к частной информации типичен, и на рынке мобильных приложений нет ничего нового.

Предотвращение пользователей

Пользователь может сделать лишь так много, что касается разрешения и отклонения разрешений для каждого приложения, особенно если он хочет получить полный потенциал приложения. К счастью, есть два замечательных приложения, которые занимаются обнаружением этих потенциальных нарушений.

Если Lookout определяет, что рекламная сеть действует самостоятельно, без согласия пользователя, она классифицирует сеть как рекламное. Кроме того, он предоставляет информацию о рекламном программном обеспечении, включая его идентификацию, функции и потенциальный вред для пользователя. viaProtect - еще один замечательный инструмент, предоставляющий визуальный график того, куда направляются пользовательские данные с точки зрения сети и страны, а также того, сколько их зашифровано. Это позволяет пользователю принимать обоснованное решение о том, следует ли удалять определенные приложения, которые выдают слишком много информации.

Безопасность имеет первостепенное значение в эпоху цифровых технологий. Такие приложения, как Lookout и viaProtect, позволяют пользователям узнать, находятся ли их данные в опасности, но по-прежнему сложно предотвратить доступ библиотек к PII пользователя. Пока что чтение мелкого шрифта и принятие обоснованного решения - лучший способ противодействия нежелательному доступу на мобильном устройстве.

Бизнес-пользователи рискуют потерять данные в 78% мобильных приложений