Video: Hoe plak je een screenprotector (November 2024)
We geven behoorlijk wat beveiliging en privacy op als we apps downloaden van Apple's App Store en Google Play. We stoppen zelden om te onderzoeken wat de apps op onze apparaten en met onze gegevens doen, en vergeten dat ontwikkelaars geen prioriteit geven aan de privacy van gebruikers bij het bouwen van de app.
"Ik denk niet dat mensen zich realiseren dat wij niet de klant zijn voor deze gratis apps. De adverteerders wel, " vertelde Michael Sutton, vice-president beveiligingsonderzoek van Zscaler, aan Security Watch.
De ontwikkelaars denken na over wat de adverteerders willen bij het bouwen van deze apps, en dat is informatie over gebruikers en de mogelijkheid om gebruikersactiviteit bij te houden, zei Sutton. Dus als het gaat om app-machtigingen, beletten ontwikkelaars niets om meer te vragen dan ze nodig hebben. De meeste mensen lezen de lijst met machtigingen niet voordat ze ze allemaal accepteren om de app te installeren, en mensen klagen over het algemeen niet als de app te veel lijkt te vragen. Er zijn gevallen waarin ontwikkelaars om machtigingen vragen, ongeacht of ze deze daadwerkelijk nodig hebben.
In feite is er "niet ontmoedigend voor hen om het niet te doen, vooral aan de Android-kant van het huis, " zei Sutton.
Bevindingen ZScaler-onderzoek
Onderzoekers van Zscaler ThreatLabz analyseerden 550 iOS-apps en 75.000 Android-apps om te begrijpen hoe de twee mobiele besturingssystemen privacy en beveiliging benaderen. In zijn statische analyse zocht het team naar werkelijke instanties in de code waar functies met specifieke toegangsniveaus werden opgeroepen. Op deze manier konden ze verifiëren dat de functie daadwerkelijk de toestemming gebruikte waar ze om had gevraagd.
De bevindingen zijn vrij diepgaand en fascinerend, zoals het feit dat meer dan 60 procent van de iOS-apps in de categorie 'Game en entertainment' toestemming vragen voor telefoniefuncties en geografische locatie. Zscaler noemde deze bevinding 'verontrustend' en merkte op dat er recente meldingen zijn geweest van apps die gebruikersactiviteit bespioneerden. Dat aantal is hoger voor Lifestyle-apps, met 81 procent die om functionaliteit vraagt. In totaal vroeg 34 procent van de iOS-apps om toegang tot het adresboek, 83 procent vroeg om e-mailtoegang en 46 procent kon de agenda van de gebruiker lezen.
"Met 97 procent apps die ten minste een van de functionaliteiten gebruiken die worden bijgehouden (adresboek, telefonie, locatie, e-mailkalender of UUID), zoals gezegd, worden we zoveel, zo niet meer verbruikt dan we consumeren, " schreef Zscaler op de blog.
Aan de Android-kant ontdekte Zscaler dat 68 procent van de apps die sms-machtigingen aanvragen, vraagt om de mogelijkheid om sms-berichten te verzenden. Dit is iets om je zorgen over te maken, gezien de populariteit van sms-fraude en spam die gebruikers misleiden om berichten naar premium nummers te sturen. Nog eens 28 procent van de apps met sms-machtigingen vraagt ook om de mogelijkheid om sms-berichten te lezen. Dit is ook een ander punt van zorg als u kijkt naar het aantal sites voor mobiel bankieren en andere services die codes verzenden via sms voor tweefactorauthenticatie of om specifieke transacties te bevestigen. "Dat is een zeer risicovolle toestemming om een app te verlenen, " zei Sutton en merkte op dat Apple deze toestemming niet eens verleent.
Het goede is dat op dit moment minder dan 10 procent van de apps momenteel om sms-machtigingen vraagt. Maar nog steeds.
Van de geanalyseerde Android-apps constateerde Zscaler dat 36 procent locatie-informatie opvroeg en 46 procent de toestandsvergunning van de telefoon vroeg, waardoor apps toegang hebben tot SIM-kaartinformatie en de unieke IMEI-ID van de telefoon.
"Het is een delicate balans tussen wat we bereid zijn op te geven in ruil voor een gratis applicatie, " zei Sutton.
Android stelt gebruikers bloot aan meer risico's
Het grootste probleem, wat Sutton betrof, was het feit dat Android gebruikers geen controle gaf over welke rechten de apps zouden kunnen hebben. "Ik ben geen fan van het alles-of-niets-model in Android", zei Sutton en noemde het "gevaarlijk".
Het is een beetje triest, omdat Android eigenlijk verder gaat dan iOS door ontwikkelaars zeer gedetailleerde controleniveaus te geven. Dat niveau van controle wordt echter niet overgedragen aan de app zelf, want als de gebruiker niet van een specifieke toestemming houdt waar de app om vraagt, kan de gebruiker de app niet installeren. Apple installeert daarentegen de iOS-app en vraagt de gebruiker vervolgens om toestemming als een specifieke functionaliteit nodig is.
"Dat is één ding dat Apple beter doet, " zei Sutton. Hij zei dat de "superieure benadering" van machtigingen onder het iOS-model de consumenten beter beschermt.
Apple heeft ook gevochten om te voorkomen dat ontwikkelaars apparaten volgen, zei Sutton. Ontwikkelaars mochten oorspronkelijk de unieke UDID van het apparaat opvragen, die adverteerders konden gebruiken om profielen op te bouwen en te begrijpen wat voor soort apps gebruikers gebruikten. Hoewel Apple het gebruik van UDID heeft verboden, ontdekte Zscaler dat 38 procent van de iOS-apps in zijn analyse nog steeds toegang had. Apple heeft ontwikkelaars ook verboden MAC-adressen te volgen. De UUID heeft de voorkeur omdat het een unieke waarde is die per app en apparaat wordt gegenereerd, waardoor adverteerders geen gebruikers in apps kunnen volgen.
Apple heeft 'echt gevochten om te voorkomen dat ontwikkelaars apparaten volgen', zei Sutton. "Google heeft op dat gebied niets gedaan."
