Studie visar att många iPhone-appar trotsar Apples sekretessråd

2011 meddelade Apple att appar för iPhone och iPad borde sluta logga de unika identifierarna för användarnas enheter, en praxis som kan utnyttjas för att bygga upp profiler för annonsinriktning. Men en ny studie av forskare vid University of California, San Diego, tyder på att många appar fortfarande gör det.





Du bestämmer: Forskare utvecklade en app som kan upptäcka och selektivt blockera vilken personlig data iPhone-appar kan komma åt.

Vid MobiSys konferens i Taiwan denna vecka kommer forskarna att presentera data som samlats in från 225 000 appar installerade på 90 000 vanliga iPhones. Deras analys visar att mellan februari 2012 och december 2012 fick 48 procent av dessa appar åtkomst till det unika enhets-ID, eller UDID, för telefonen de installerades på. Hela tidningen är tillgänglig online (PDF) .

Apples mobiloperativsystem, iOS, tillåter vanligtvis inte appar att övervaka varandra, så informationen samlades in från användare av jailbroken iPhones, på vilka Apples vanliga kontroller har inaktiverats för att tillåta modifiering av enheten och installation av appar som inte erbjuds via Apples App Store. Forskarna säger att deras resultat är relevanta för alla iPhone-användare, eftersom en stor majoritet av appar som används på jailbroken enheter är desamma som används på omodifierade telefoner.



Appen som samlade in data heter ProtectMyPrivacy . När den har installerats upptäcker den vilken data de andra apparna på en telefon försöker komma åt. Om en app försöker komma åt potentiellt känslig data meddelar ProtectMyPrivacy telefonens ägare, som kan välja att selektivt blockera åtkomsten. Användare kan välja att förhindra till exempel en viss app från att komma åt deras kontakter, plats eller UDID; de kan också tillämpa automatiska rekommendationer om vad som ska blockeras eller tillåtas för särskilda appar. Den nya studien är baserad på data som samlats in från användare som valde att dela anonymiserad information från ProtectMyPrivacy.

RELATERADE BERÄTTELSER Se andra artiklar från Symantec:

Företagsmobilitet
Säkra mobila rådgivare
Fallstudie: Quest Diagnostics mobiliserar sina kliniker och säljare

Sedan 1 maj har Apples officiella policy varit att avvisa appar som får åtkomst till en enhets UDID , men det är okänt hur strikt den regeln tillämpas. Yuvraj Agarwal , som ledde UCSD-studien med kollegan Malcolm Hall, säger att han fann att cirka 40 procent av apparna på telefoner med ProtectMyPrivacy installerat fortfarande försöker komma åt en enhets UDID. Vissa av dessa appar har uppdaterats sedan 1 maj, säger han, vilket betyder att en ny version laddades upp till Apples iTunes-butik. Detta tyder antingen på att Apple inte fångar alla appar som har åtkomst till UDID eller att de släpper igenom vissa även om de är kända för att göra det.



Agarwal kallar bilden som han och Hall avslöjade för häpnadsväckande. Appar kan fortfarande komma åt UDID eftersom företaget inte blockerade åtkomsten till det i den senaste versionen av sin mobila mjukvara, iOS6, för att undvika att gå sönder gamla appar. Jag tror att många av apparna fortfarande [spelar in UDID] bara för att [applikationsprogrammeringsgränssnittet] är tillgängligt, säger Agarwal.

Jeremy Linden, säkerhetsproduktchef på det mobila säkerhetsföretaget Se upp , säger att även om apptillverkare följer Apples riktlinjer om UDID, så har de andra sätt att spåra sina användare. Till exempel kan inspelning av den unika koden som tilldelats en enhets Wi-Fi-chip, kallad MAC-adress, användas för att spåra en enhet över olika annonsnätverk och analystjänster, säger han. Och det skulle inte finnas något sätt att välja bort.

UDID-åtkomst kommer att försvinna på enheter som uppgraderar till Apples nya iOS7-programvara, som kommer att släppas sent i år. Linden säger att Apple också verkar vidta andra åtgärder i iOS7 för att hindra appar från att spåra användarnas handlingar. Enligt min förståelse eliminerar de all tillgång till unika enhetsidentifierare, säger han. Detta är bra för användarnas integritet och är ett exempel för branschen.



Apple har också skapat en dedikerad identifierare för appar som vill spåra användare. IDFA (för identifierare för annonsering) är avsett att erbjuda bättre integritetskontroller. Användare kan återställa sin IDFA när som helst av säkerhets- eller integritetsskäl, och den ansluter också till en Limit Ad Tracking-funktion i iOS.

En fråga som kommer att kvarstå är dock att företagets relativt slutna mjukvaruekosystem gör det svårt för oberoende forskare som Agarwal att granska precis vad appar gör på Apple-enheter. De flesta akademiker som är intresserade av mobil säkerhet och integritet arbetar på Googles Android-operativsystem istället; Googles mjukvara är lättare att mixtra med, och programvara som inte erbjuds via Googles mjukvarubutik kan fortfarande installeras på en Android-telefon. Det är också lättare för researchappar att komma in i Googles mobilappbutik.

Agarwal säger att han skickade in en app till den officiella Apple-butiken som skulle låta folk leta upp data som ProtectMyPrivacy hade samlat in om appar de använde, men den avvisades. När en Apple-anställd ringde för att diskutera saken, säger Agarwal, frågade han vad som behövde ändras för att appen skulle accepteras, men han fick höra att vi har ett problem med konceptet med appen.



Apple svarade inte på en begäran om kommentar om UCSD-studien vid tidpunkten för publicering.

Dölj