Video: Hoe doe je btw-aangifte? (Boekhoudvragen video 5) (November 2024)
Sommige belasting- en gerelateerde financiële apps voor Android en iOS verzamelen en delen mogelijk onnodig gebruikersgegevens. Heeft u een van deze apps op uw mobiele apparaat?
Appthority analyseerde verschillende fiscale financiële management-apps voor Android- en iOS-apparaten en identificeerde een handvol risicovol gedrag, waaronder het volgen van de gebruikerslocatie, toegang tot de contactenlijst en het delen van gebruikersgegevens met derden, vertelde Domingo Guerra, president en oprichter van Appthority, aan SecurityWatch.
Veel van de apps verzenden gebruikersgegevens zoals locatie en contactgegevens uit het adresboek naar advertentienetwerken van derden, Appthority gevonden. De meeste communicatie met de advertentienetwerken was toevallig in duidelijke tekst. Hoewel het logisch was dat de H&R Block-app toegang had tot de locatie van de gebruiker, omdat de app gebruikers de dichtstbijzijnde winkel kan laten vinden, was het "niet erg duidelijk waarom" de resterende apps die informatie nodig hadden.
"De rest deelt die locatie gewoon met advertentienetwerken, " zei Guerra.
De lijst met apps bevatte "grote naam belasting-apps en enkele kleinere nieuwkomers" zoals H&R Block TaxPrep 1040EZ en de volledige H&R Block-apps, TaxCaster en My Tax Refund van Intuit (het bedrijf achter TurboTax), inkomstenbelastingcalculator 2012 van een ontwikkelaar met de naam SydneyITGuy en Federal Tax 1040EZ van RazRon, zei Guerra. Appthority voerde haar analyse uit met behulp van haar eigen geautomatiseerde mobiele app-risicobeheerservice.
Zwak tot geen codering
De apps hadden over het algemeen een zwakke codering en kozen ervoor om een deel van het dataverkeer selectief te beschermen, in tegenstelling tot het coderen van al het verkeer, vond Appthority. Een paar van de apps - Guerra heeft niet gespecificeerd welke - gebruikten voorspelbare versleutelingscodes in plaats van gebruik te maken van versleutelings randomizers. De apps zonder naam, zoals die van RazRon, hebben helemaal geen codering gebruikt.
Een van de apps met de grote naam bevatte bestandspaden naar de broncode in de foutopsporingsinformatie in het uitvoerbare bestand. De bestandspaden bevatten vaak gebruikersnamen en andere informatie die kan worden gebruikt om de app-ontwikkelaar of het bedrijf te targeten, zei Appthority. Nogmaals, Guerra heeft de app niet bij naam geïdentificeerd.
Hoewel "het over het algemeen geen groot risico is om deze informatie te lekken, " moet het indien mogelijk worden vermeden, "zei Guerra.
Gegevens ontmaskeren
Sommige van de apps boden een functie waarmee de gebruiker een foto van de W2 kon maken, en de afbeelding werd vervolgens opgeslagen in de 'camerarol' van het apparaat, Appthority gevonden. Dit kan een ernstig probleem zijn voor gebruikers die automatisch uploaden of synchroniseren met cloudservices zoals iCloud of Google+ omdat die afbeelding wordt opgeslagen op onveilige locaties en mogelijk wordt blootgesteld.
Zowel de iOS- als Android-versies van de H&R Block 1040EZ-app maakten gebruik van advertentienetwerken zoals AdMob, JumpTab en TapJoyAds, maar de volledige versie van de H&R Block-app geeft geen advertenties weer, merkte Appthority op.
iOS versus Android
Er waren niet veel verschillen in de soorten risicovol gedrag tussen iOS- en Android-versies van dezelfde app, zei Guerra. De meeste verschillen kwamen neer op hoe het besturingssysteem omgaat met machtigingen. Android vereist dat de app alle machtigingen weergeeft voordat de gebruiker de app op een alles-of-niets-manier kan installeren en uitvoeren. IOS vraagt daarentegen om toestemming wanneer de situatie zich voordoet. De iOS-app heeft bijvoorbeeld geen toegang tot de locatie van de gebruiker totdat de gebruiker probeert de store locater-functie te gebruiken.
Volgens de nieuwste regels verbiedt iOS 6 app-ontwikkelaars gebruikers te volgen op basis van hun apparaat-ID en UDID- of EMEI-nummers. Deze praktijk is nog steeds gebruikelijk bij Android-apps. De iOS-versie van de H&R Block 1040EZ-app volgt de gebruiker niet, maar de Android-versie van dezelfde app doet dit door het verzamelen van de ID van het mobiele apparaat, de build en versie van het mobiele platform en de Subscriber ID van het mobiele apparaat, zei Guerra.
De volledige H&R Block-app op Android-verzoeken en heeft toegang tot een lijst met alle andere apps die op het apparaat zijn geïnstalleerd. De iOS-versie van de app heeft geen toegang tot deze informatie omdat het besturingssysteem dit niet toestaat.
Riskant of niet?
Er is op dit moment niets specifiek riskant, deze apps verzenden geen wachtwoorden en financiële gegevens in duidelijke tekst. Het feit blijft echter dat apps gebruikersgegevens onnodig delen. Met uitzondering van één app bood geen van de andere apps een winkellocatiefunctie. Waarom hadden deze andere apps dan toegang nodig tot de locatie van de gebruiker? Waarom hadden deze apps toegang nodig tot de contacten van de gebruiker? Dat lijkt niet nodig voor het voorbereiden van belastingen.
Appthority keek naar enkele oude apps 'om een punt te bewijzen', zei Geurra. Veel van deze apps hebben een soort vervaldatum - zoals belasting-apps voor 2012 - waarbij gebruikers naar verwachting niet langer gebruik zullen maken nadat ze het hebben gebruikt.
Deze "wegwerp-apps" worden zelden uit de markt gehaald en gebruikers moeten zich ervan bewust zijn dat deze apps toegang hebben tot gegevens op de apparaten van de gebruiker.
