Video: 20 Android Apps for 2020. (November 2024)
Veel mobiele apps worden geleverd met een hele reeks advertenties, de mogelijkheid om verbinding te maken met sociale media of beide. Dit kunnen onschadelijke add-ons lijken, die in de app worden geplaatst met het doel winst te maken voor de ontwikkelaar van de app. Deze functies hebben echter mogelijk de toegang tot de PII van een gebruiker of persoonlijk identificeerbare informatie. De mogelijkheid van de add-ons om toegang te krijgen tot gevoelige informatie is gevaarlijk, niet alleen omdat de functies gevoelige informatie kunnen verzamelen nadat de gebruiker de toestemmingen van de app heeft goedgekeurd, maar de informatie kan ook worden blootgesteld zonder medeweten van de gebruiker.
Een studie door Mojave Networks, een startup voor technologiebeveiliging in San Mateo, Californië, gebruikte hun Threat Labs om 11 miljoen URL's te testen die gegevens verzenden en ontvangen in meer dan 2000 apps die door haar klanten zijn geïnstalleerd, waarbij de studie zich richt op zakelijke gebruikers. Deze URL's werden vervolgens in categorieën geplaatst op basis van hun verbinding met een van de drie bibliotheken: advertentienetwerken, sociale media-API's of analyse-API's. De resultaten toonden aan dat 78 procent van de gedownloade apps verbonden was met een van de drie groepen, waardoor gebruikers risico lopen op onbekende toegang tot hun persoonlijke informatie of erger nog, persoonlijk of zakelijk gegevensverlies.
Een gebrek aan verantwoordelijkheid
Wat nog geschokkender is, is hoe deze bibliotheken zijn geïmplementeerd. Ze worden gebruikt door de ontwikkelaar, die de code van een derde ontvangt. Deze codes worden voornamelijk gebruikt om advertentie-inkomsten te verzamelen, gebruikersstatistieken bij te houden of te integreren met sociale media. Het rapport vermeldde dat er duizenden van deze bibliotheken beschikbaar zijn, en voor het grootste deel verzamelen deze codes van derden meestal geen PII. Ze kunnen echter niet allemaal worden vertrouwd. In de meeste gevallen zal de ontwikkelaar de code meestal implementeren met weinig of geen beoordeling van de inhoud, waardoor u de beslissing hebt om blindelings op het oordeel van de ontwikkelaar te vertrouwen en de kans riskeert om deze bibliotheken toegang te geven tot uw gegevens zonder uw medeweten.
Tot overmaat van ramp is de gebruiker gebonden aan het specifieke beleid van de bibliotheek door de app te downloaden en te installeren zonder ooit de details van het beleid te zien. Vanuit zakelijk oogpunt kan dit leiden tot een gebrek aan verantwoording en maakt het moeilijk voor IT-beheerders om te beslissen welke app een beveiligingsrisico inhoudt.
Gemiddeld heeft elke app ongeveer negen machtigingen. Vijf daarvan worden als zeer gevaarlijk beschouwd, omdat ze toegang kunnen bieden tot informatie die anders privé zou blijven. Airpush, een van de beste advertentiebibliotheken in het onderzoek, verzamelt bijvoorbeeld de volgende gegevens:
- Android ID
- Merk en model van het apparaat
- Type en versie van mobiele browser
- IP adres
- Een door Airpush gegenereerde ID
- Lijst met mobiele apps die op de telefoon zijn geïnstalleerd.
- "Andere technische gegevens over uw apparaat."
Als u hiervoor toestemming geeft, kan Airpush ook het volgende verzamelen:
- Nauwkeurige geolocatie inclusief land en postcode.
- Apparaat-ID's inclusief het IMEI-nummer (International Mobile Equipment Identity), het serienummer van het apparaat en het MAC-adres (Media Access Control).
- Browsergeschiedenis en meer.
Gebruikers kunnen zich afmelden voor sommige gegevensverzameling, zoals de lijst met geïnstalleerde mobiele apps en browsergeschiedenis.
Als u een app installeert die Airpush gebruikt, kan deze zonder uw medeweten toegang krijgen tot al deze informatie. Het ergste is dat deze brede toegang tot privé-informatie typisch is en niets nieuws op de markt voor mobiele apps.
Preventie van gebruikers
Er is slechts zoveel dat de gebruiker kan doen wat betreft het toestaan en weigeren van machtigingen voor elke app, vooral als ze het volledige potentieel van de app willen benutten. Gelukkig zijn er twee geweldige apps die zich bezighouden met het detecteren van deze mogelijke inbreuken.
Als Lookout bepaalt dat een advertentienetwerk zelfstandig handelt, zonder toestemming van de gebruiker, classificeert het het netwerk als adware. Bovendien biedt het informatie over de adware, inclusief de identificatie, functie en mogelijke schade voor de gebruiker. viaProtect is een ander geweldig hulpmiddel, dat een visuele grafiek biedt van waar gebruikersgegevens naartoe gaan in termen van netwerk en land en hoeveel daarvan versleuteld is. Hiermee kan de gebruiker een weloverwogen beslissing nemen over het al dan niet verwijderen van bepaalde apps die teveel informatie weggeven.
Beveiliging staat voorop in het digitale tijdperk. Apps zoals Lookout en viaProtect laten gebruikers weten of hun gegevens gevaar lopen, maar het is nog steeds moeilijk om te voorkomen dat bibliotheken toegang hebben tot de PII van een gebruiker. Voorlopig is het lezen van de kleine lettertjes en het nemen van een geïnformeerde beslissing de beste manier om ongewenste toegang op een mobiel apparaat tegen te gaan.
