211service.com
Hur man upptäcker appar som läcker din data
En anledning till att smartphones och smartphoneappar är så användbara är att de kan integreras intimt med våra personliga liv. Men det riskerar också våra personuppgifter.
En ny tjänst kallas Mobilskop hoppas kunna ändra på det genom att låta en smartphoneanvändare granska all data som appar överför och varna honom när känslig information, som hans namn eller e-postadress, överförs.
Det är ett plattforms-agnostisk avlyssningsverktyg som du kan använda på din Android-, iOS-, Blackberry- eller Windows-enhet, säger Ashkan Soltani , en oberoende sekretessforskare som skapade Mobilescope med forskarkollegor David Campbell och Aldo Cortesi .
Deras första proof-of-concept vann ett pris för den bästa appen som skapades under en integritetsfokuserad programmeringstävling, eller codeathon, anordnas av Wall Street Journal i april i år; trion har nu polerat det tillräckligt för att öppna en beta-provperiod. Access rullas stadigt ut till de par tusen personer som redan har gjort det anmält sig , säger Soltani.
När en person har registrerat sig för tjänsten nås Mobilescope via en webbplats, inte som en app installerad på en enhet. En användare kan använda webbplatsen för att se loggar över data som överförs av apparna på sin enhet. De kan också ange kanariefåglar, bitar av känslig information som telefonnummer, e-post eller namn som utlöser en varning om de skickas ut av en app.
Mobilescope kan fånga appar som gör saker som att kopiera en persons adressbok till en fjärrserver, som Path och flera andra mobilappar visade sig göra tidigare i år. Soltani säger att tjänsten är avsedd att utjämna villkoren mellan mobilappar och människor som använder dem genom att beväpna användare med mer information om vad dessa appar gör. Som blev tydligt när flera populära appar ertappades med att tyst kopiera kontaktdata från användare tidigare i år, ger varken Apples eller Googles mobiloperativsystem för närvarande människor mycket insikt i eller kontroll över vilka appar som delar (se Apple ignorerade varning om adressbokåtkomst ) .
Vårt fokus är att göra avlyssningsprocessen riktigt enkel, säger Soltani. Om du inte är en avancerad användare kan du fortfarande få tillgång till denna information med Mobilescope.
När en person registrerar sig för Mobilescope skickas en konfigurationsfil till hans enhet. När den väl har installerats leder den här filen till att all framtida internettrafik dirigeras genom en Mobilescope-server så att den kan analysera data som kommer och går till enheten och dess appar. Det arrangemanget är möjligt tack vare det sätt som smartphones är designade för att vara kompatibla med VPN, eller virtuella privata nätverk – krypterad kommunikation som vissa företag använder för att hålla företagsdata privat. Den designen lägger inte mycket fördröjning till en persons anslutning, säger Soltani, delvis för att användare är anslutna till en server så geografiskt nära dem som möjligt.
Mobilescope kan till och med undersöka data som skickas över de vanligaste typerna av säker anslutning som används av appar, liknande de som används av bankwebbplatser, genom att avlyssna de inblandade certifikaten. Tjänsten kan inte dekryptera annan data, men Soltani säger att få appar bryr sig om att använda kryptering. Data som samlas in av Mobilescope kasseras efter varje användningssession och lagras endast på en persons egen enhet.
Soltani säger att han inte föreställer sig att Mobilescope kommer att ha den masstilltalande som något som Angry Birds, men han hoppas att det kommer att uppmuntra journalister, aktivister och vanliga smartphoneägare att undersöka vad appar gör, och kommer att bidra till att sätta mer press på apputvecklare att respektera integriteten. Ökad transparens för alla – apputvecklare, användare, tillsynsmyndigheter – kommer att hjälpa hela det mobila ekosystemet.
En tidigare version av Mobilescope gav användare möjlighet att skicka falska data till vissa appar, till exempel att skicka en falsk plats. Vi var tvungna att dra ut det eftersom ekosystemet inte är redo för det, säger Soltani, som säger att det här förstörde vissa appar, ibland på sätt som kan skada andra användare. Ett separat projekt gör den taktiken tillgänglig för Android-användare som är villiga att använda en modifierad version av sitt operativsystem (se Använd deras app, Behåll dina data).
I april, Xuxian Jiang , en docent vid North Carolina State University, publicerade en studie som visar att annonssystemen som ingår i många Android-appar äventyrar användarnas integritet. Ungefär hälften av dessa system övervakar en användares GPS-plats, och en del samlar också in samtalsloggar och annan känslig data (se Android-annonser kan attackera, Study Warns).
Jiang, som har avslöjat andra säkerhets- och integritetsbrister med mobilappar, sa att Mobilescope kommer att vara ett intressant nytt verktyg för att hålla koll på appar. Han tillägger dock att det inte kan garanteras att fånga allt, och säger att mobil integritet bara kan förbättras med större transparens från utvecklare, förbättrade sekretesspolicyer och åtgärder från skaparna av mobila operativsystem. [Vi] behöver mekanismer för användare att faktiskt kontrollera appars åtkomst till olika personlig information, säger han.
Justin Brookman , som leder konsumenternas integritetsaktiviteter vid Center for Democracy and Technology, säger att detta kommer att kräva lagändringar, som för närvarande helt enkelt uppmuntrar företag att skriva mycket breda integritetspolicyer för att undvika påföljder för att skriva falska.
Detaljerade avslöjanden avskräcks faktiskt av lagen, säger han. CDT försöker få lagstiftning införd som istället kräver att företag uttryckligen berättar för konsumenterna vad som händer med deras data och för att ge dem mer kontroll över den.