Что ваше налоговое приложение делает с вашими данными?

Некоторые налоговые и связанные с ними финансовые приложения для Android и iOS могут излишне собирать и делиться пользовательскими данными. Есть ли у вас какие-либо из этих приложений на вашем мобильном устройстве?

Appthority проанализировала несколько приложений налогового финансового управления для устройств Android и iOS и определила несколько рискованных действий, включая отслеживание местоположения пользователя, доступ к списку контактов и обмен данными с третьими лицами, сообщил SecurityWatch Доминго Герра, президент и основатель Appthority.

Appthority обнаружила, что многие приложения передают пользовательские данные, такие как местоположение, и контактную информацию, извлеченную из адресной книги, в сторонние рекламные сети. Большая часть общения с рекламными сетями происходила в виде открытого текста. Хотя приложение H & R Block имело смысл иметь доступ к местоположению пользователя, поскольку приложение позволяет пользователям находить ближайший магазин, было «не очень понятно, зачем» остальным приложениям нужна эта информация.

«Остальные просто делятся этим местоположением с рекламными сетями», - сказал Герра.

В список приложений вошли «известные налоговые приложения и некоторые небольшие новички», такие как H & R Block TaxPrep 1040EZ и полные приложения H & R Block, TaxCaster и My Tax Refund от Intuit (компания, которая стоит за TurboTax), Income Tax Calculator 2012 от разработчика по имени По словам Гуэрры, SydneyITGuy и Федеральный налог 1040EZ от RazRon. Appthority провела анализ, используя собственную автоматизированную службу управления рисками для мобильных приложений.

Слабый, чтобы не шифровать

Appthority обнаружила, что приложения обычно имеют слабое шифрование и предпочитают избирательно защищать часть трафика данных, а не шифровать весь трафик. Несколько приложений - Guerra не указали, какие именно - использовали предсказуемые шифровальные шифры вместо использования рандомизаторов шифрования. Приложения без имени, такие как приложение от RazRon, вообще не использовали шифрование.

Одно из известных приложений включило пути файлов к исходному коду в отладочную информацию в исполняемом файле. По словам Appthority, пути к файлам часто содержат имена пользователей и другую информацию, которая может быть использована для нацеливания на разработчика приложений или компанию. Опять же, Гуэрра не опознал приложение по имени.

Хотя «как правило, утечка этой информации не является серьезным риском», «ее следует избегать, если это возможно», - сказал Герра.

Разоблачение данных

Некоторые приложения предложили функцию, с помощью которой пользователь мог сделать снимок W2, а затем изображение было сохранено в «ролике камеры» устройства, обнаружил Appthority. Это может быть серьезной проблемой для пользователей, которые автоматически загружают или синхронизируют с облачными сервисами, такими как iCloud или Google+, так как это изображение сохраняется в небезопасных местах и ​​может подвергаться опасности.

В обеих версиях приложения H & R Block 1040EZ для iOS и Android использовались рекламные сети, такие как AdMob, JumpTab и TapJoyAds, но полная версия приложения H & R Block не отображает рекламу, отмечает Appthority.

iOS против Android

По словам Гуэрры, различий в типах рискованного поведения между версиями одного и того же приложения для iOS и Android не было. Большая часть различий сводилась к тому, как операционная система обрабатывает разрешения. Android требует, чтобы приложение отображало все разрешения, прежде чем пользователь сможет установить и запустить приложение в режиме «все или ничего». В отличие от iOS запрашивает разрешение, как они ситуация подходит. Например, приложение iOS не будет иметь доступа к местоположению пользователя, пока пользователь не попытается использовать функцию поиска магазина.

Согласно последним правилам, iOS 6 запрещает разработчикам приложений отслеживать пользователей на основе идентификатора их устройства и номеров UDID или EMEI. Эта практика все еще распространена среди приложений Android. Версия iOS приложения H & R Block 1040EZ не отслеживает пользователя, но версия того же приложения для Android делает это путем сбора идентификатора мобильного устройства, информации о сборке и версии мобильной платформы и идентификатора абонента мобильного устройства, сказал Гуэрра.

Полное приложение H & R Block по запросам Android и возможность доступа к списку всех других приложений, установленных на устройстве. Версия приложения для iOS не имеет доступа к этой информации, потому что операционная система не позволяет этого.

Рискованно или нет?

На данный момент нет ничего особенно рискованного, эти приложения не передают пароли и финансовые записи в виде открытого текста. Однако факт остается фактом: приложения обмениваются пользовательскими данными без необходимости. За исключением одного приложения, ни одно из других приложений не предлагало функцию поиска магазина. Зачем тогда другим приложениям нужен доступ к местоположению пользователя? Зачем этим приложениям нужен доступ к контактам пользователя? Это не кажется необходимым для подготовки налогов.

Appthority посмотрел на некоторые старые приложения, «чтобы доказать свою точку зрения», сказал Джерра. Многие из этих приложений имеют определенную дату окончания срока действия, например, налоговые приложения 2012 года, когда пользователи, как ожидается, больше не будут использовать его после того, как закончат его использование.

Эти «одноразовые приложения» редко продаются на рынке, и пользователи должны знать, что эти приложения имеют доступ к данным на устройствах пользователя.