Μελέτη: Οι εφαρμογές κινητής τηλεφωνίας βλέπουν ιδιωτικά δεδομένα περισσότερο από ό, τι είναι απαραίτητο

Οι εφαρμογές κινητής τηλεφωνίας έχουν πρόσβαση σε ιδιωτικά δεδομένα των χρηστών και μεταδίδουν τους σε απομακρυσμένους διακομιστές πολύ περισσότερο από ό, τι φαίνεται απολύτως απαραίτητο, ενώ οι χρήστες έχουν ανεπαρκή εργαλεία για την παρακολούθηση ή τον έλεγχο αυτής της πρόσβασης, σύμφωνα με νέα μελέτη δύο γαλλικών κυβερνητικών υπηρεσιών.

Η Γαλλική Εθνική Επιτροπή Πληροφορικής και Ελευθερίας (CNIL) μελέτησε τη συμπεριφορά 189 εφαρμογών στις έξι iPhones εξοπλισμένα με λογισμικό παρακολούθησης και εργαλεία ανάλυσης που αναπτύχθηκε από το Γαλλικό Εθνικό Ινστιτούτο Έρευνας Πληροφορικής και Ελέγχου (INRIA). Στόχος ήταν να βελτιωθεί η γενική κατανόηση του τρόπου με τον οποίο οι εφαρμογές χρησιμοποιούν ιδιωτικά δεδομένα, όχι για να δείξουν το χέρι τους συγκεκριμένους προγραμματιστές, δήλωσε ο πρόεδρος της CNIL, Isabelle Falque-Pierrotin, σε συνέντευξη Τύπου για την παρουσίαση της έρευνας.

συνθήκες, η CNIL υιοθέτησε μια πραγματική προσέγγιση, ζητώντας από έξι εθελοντές να βάλουν τις δικές τους κάρτες SIM στα τηλέφωνα και να τις χρησιμοποιούν όπως θα ήταν δικές τους μεταξύ Οκτωβρίου και μέσου Ιανουαρίου. Ένας εθελοντής κατεβάσει σχεδόν 100 εφαρμογές, και ένας μόλις 5 πρόσθεσε σε εκείνους που εγκατέστησε η Apple.

[Περαιτέρω ανάγνωση: Τα καλύτερα τηλέφωνα Android για κάθε προϋπολογισμό.]

Ένας στις 12 από τις εφαρμογές έχει πρόσβαση στο βιβλίο διευθύνσεων και σχεδόν μία στις τρεις πληροφορίες σχετικά με την τοποθεσία. Κατά μέσο όρο, οι χρήστες είχαν εντοπίσει την τοποθεσία τους 76 φορές την ημέρα κατά τη διάρκεια της μελέτης. Η εφαρμογή Foursquare και η δική της εφαρμογή Χάρτες της Apple ζήτησαν τις πιο συνηθισμένες πληροφορίες σχετικά με την τοποθεσία - ίσως κατανοητές λόγω του σκοπού τους - με την εφαρμογή ApolloMe και την εφαρμογή της φωτογραφικής μηχανής Apple

Το όνομα του iPhone έγινε προσπελάσιμο από μία εφαρμογή σε έξι. σχεδόν καθόλου σκοπό και απέχει πολύ από ένα μοναδικό αναγνωριστικό, αν και δεδομένου ότι συχνά περιέχει το όνομα του χρήστη, θα μπορούσε να θεωρηθεί προσωπικά αναγνωρίσιμη πληροφορία.

Η εφαρμογή του Facebook προφανώς έκανε λίγη προσπάθεια πρόσβασης σε τέτοιες προσωπικές πληροφορίες -, ερευνητές σε δύο γαλλικές κυβερνητικές υπηρεσίες, CNIL και INRIA, θέλουν να δώσουν στους χρήστες του iOS της Apple πρόσθετο έλεγχο σχετικά με τον τρόπο με τον οποίο οι εφαρμογές έχουν πρόσβαση στις προσωπικές τους πληροφορίες, επιτρέποντάς τους να αναθεωρήσει και να αλλάξει αυτή την πρόσβαση ανά πάσα στιγμή

Τα δεδομένα που είχαν πρόσβαση στα περισσότερα από τα στοιχεία της μελέτης ήταν το Universal Device Identifier (UDID) του iPhone, συνδέονται με ένα συγκεκριμένο τηλέφωνο. Σχεδόν οι μισές εφαρμογές έχουν πρόσβαση σε αυτό, και ένας στους τρεις από αυτούς τις έστειλε μέσω Internet χωρίς κρυπτογράφηση. Το πρακτορείο μιας ημερήσιας εφημερίδας επισκέφθηκε το UDID 1.989 φορές κατά τη διάρκεια της μελέτης και το έστειλε 614 φορές στον εκδότη του.

Ο εκπρόσωπος της CNIL Stéphane Petitcolas κατέδειξε πως οι χρήστες μπορούν να ανακτήσουν τον έλεγχο με ένα νέο εργαλείο ρύθμισης, για να περιορίσουν τον τρόπο πρόσβασης των εφαρμογών σε όλα τα είδη ιδιωτικών πληροφορίες, όπως η Apple επιτρέπει στους χρήστες να ελέγχουν την πρόσβαση στις πληροφορίες θέσης σήμερα. Η Apple δεν έχει δει το εργαλείο ακόμα, αλλά η INRIA θα εξετάσει το ενδεχόμενο να μοιραστεί τον κώδικα αν η εταιρεία ενδιαφέρεται, δήλωσε ο Claude Castelluccia, διευθυντής της ερευνητικής ομάδας.

Οι αγοραστές εφαρμογών iPhone δεν έχουν ιδέα για το τι πληροφορίες ή λειτουργίες θα έχουν πρόσβαση οι εφαρμογές τους. Το Play Store της Google δείχνει σε ποιες πληροφορίες και λειτουργίες θα έχει πρόσβαση μια εφαρμογή - αλλά η επιλογή είναι όλα ή τίποτα. Οι παλαιότερες εκδόσεις του BlackBerry OS έδωσαν στους χρήστες περισσότερη ελευθερία να επιλέξουν τα API που θα επέτρεπαν σε μια εφαρμογή να έχει πρόσβαση, με κίνδυνο να σπάσει την εφαρμογή, αλλά στο BlackBerry 10 ο κοκκώδης έλεγχος είναι διαθέσιμος μόνο για εγγενείς εφαρμογές: Για Οι εφαρμογές Android η επιλογή είναι για άλλη μια φορά να το πάρει ή να το αφήσει.

Η Apple κάνει βήματα μωρών για να δώσει στους χρήστες αυτό το είδος ελέγχου. Στο iOS 5 θα μπορούσαν να αποτρέψουν την πρόσβαση των μεμονωμένων εφαρμογών στην τοποθεσία τους και στο iOS 6 θα έχουν άλλη επιλογή, καθώς η Apple επιδιώκει να αποκλείσει τους προγραμματιστές να χρησιμοποιούν το UDID για να εντοπίσουν τους χρήστες και να στοχεύσουν τη διαφήμιση.

Αντίθετα, η Apple θέλει οι προγραμματιστές να χρησιμοποιούν το αναγνωριστικό διαφήμισης που εισήγαγε στο iOS 6. Αυτό δεν συνδέεται μόνιμα με ένα τηλέφωνο ή ένα άτομο και οι χρήστες που δεν θέλουν να εντοπιστούν μπορούν να το αλλάξουν όποτε το επιθυμούν - όσο σκέφτονται κοιτάξτε στις Ρυθμίσεις / Γενικά / Σχετικά / Διαφήμιση αντί για τις πιο προφανείς Ρυθμίσεις / Απόρρητο

. Αυτή η επιλογή δεν ήταν διαθέσιμη στους συμμετέχοντες στη μελέτη CNIL-INRIA, η οποία για τεχνικούς λόγους διεξήχθη χρησιμοποιώντας το iOS 5. η επόμενη φάση της έρευνας θα χρησιμοποιήσει το iOS 6, τώρα που η INRIA έχει ενημερώσει την εφαρμογή παρακολούθησης για τη χρήση της νέας έκδοσης.

Για να παρακολουθήσει τον τρόπο με τον οποίο οι εφαρμογές έχουν πρόσβαση σε ιδιωτικές πληροφορίες, η INRIA έπρεπε να jailbreak τα iPhones και να εγκαταστήσει μια ειδική εφαρμογή Τα API μέσω των οποίων οι εφαρμογές ζητούν πρόσβαση σε ιδιωτικές πληροφορίες, δήλωσε ο ερευνητής της INRIA Vincent Roca. Οι ερευνητές επέλεξαν να δουλέψουν στα iPhones επειδή είχαν ήδη αναπτύξει εμπειρία για το iOS. Αναπτύσσουν τώρα μια εφαρμογή με παρόμοιες δυνατότητες για τα τηλέφωνα Android, τα οποία πρέπει να ριζώνουν για να την εγκαταστήσουν.

Η εφαρμογή παρακολούθησης της INRIA καταγράφει κάθε παρακρατημένο αίτημα σε μια βάση δεδομένων στο τηλέφωνο μαζί με τις ιδιωτικές πληροφορίες που ζητούνται, έτσι ώστε θα μπορούσε να το εντοπίσει στην εξερχόμενη κυκλοφορία δικτύου. Η εφαρμογή iOS 5 μπορούσε να παρακολουθεί μόνο την κρυπτογραφημένη κίνηση στο δίκτυο, αλλά η έκδοση για το iOS 6 μπορεί τώρα να συνδέσει τα API δικτύου πριν την κρυπτογράφηση της κίνησης, δήλωσε η Roca.

Η εφαρμογή διαβίβασε επίσης αιχμαλωτισμένα αιτήματα σε κεντρικό διακομιστή για τη μελέτη οι σχετικές ιδιωτικές πληροφορίες, καθώς και τα πειραματικά θέματα έχουν δικαίωμα στην ιδιωτική ζωή τους, τόνισαν οι ερευνητές.

Η INRIA και η CNIL μόλις αρχίζουν να αναλύουν τα δεδομένα που συλλέγουν από τα έξι iPhones: Υπάρχουν 9 gigabytes από αυτά, γεγονότα κατά τη διάρκεια της τρίμηνης περιόδου

Ένα πράγμα που έχει ήδη αποκαλύψει η μελέτη είναι ότι κάποια πρόσβαση σε ιδιωτικά δεδομένα είναι τυχαία. Μια εφαρμογή για τον εντοπισμό της πλησιέστερης πισίνας του Παρισιού (η πόλη έχει 38 σε ακτίνα περίπου 5 χιλιομέτρων) έχει πρόσβαση στις πληροφορίες θέσης πολύ περισσότερο από ό, τι είναι απαραίτητο για την εκτέλεση της λειτουργίας της, προφανώς λόγω ενός σφάλματος προγραμματισμού, δήλωσε ο Petitcolas της CNIL.