211service.com
Vill du spåra människor? Det finns en app för det
Mer än hälften av alla iPhone-appar samlar in och delar en unik kod som kan användas för att spåra användare utan deras vetskap, enligt en nyligen genomförd studie.
Manuel Egele, doktorand vid tekniska universitetet i Wien, och tre andra forskare undersökte hur mer än 1 400 iPhone-appar hanterar användardata. Endast ett litet antal komprometterade uppenbart integriteten: 36 fick åtkomst till enhetens plats utan att först informera användaren; ytterligare fem minerade data från användarens adressbok utan tillstånd. Forskningen kommer att presenteras vid Network and Distributed System Security Symposium i början av februari.
Men mer än hälften av de studerade iPhone-applikationerna samlade in enhets-ID – ett 40-siffrigt hexadecimalt nummer som identifierar en viss telefon. Mer än 750 av de studerade apparna använde någon form av spårningsteknik. I cirka 200 fall skapade utvecklaren ett sätt att spåra en enhets identifieringskod; de andra apparna använde den här funktionen från reklam- eller spårningsprogrambibliotek. Egeles forskning kommer att presenteras på Network and Distributed System Security Symposium i början av februari.
Det finns en potential för företag som inte är för legitima att bygga profiler för sina användare, säger Egele. Identifieraren [kod] är inte kopplad till ett användarnamn, men du kan länka det till ett Facebook-konto, och det skulle ge dig mycket information om användaren, inklusive - för det mesta - deras riktiga namn.
Apple, som nyligen firade sin 10 miljarde App Store-nedladdning, kontrollerar applikationer och kräver att utvecklare begär auktorisering för att få åtkomst till användarnas data. Det är dock lite känt om hur företaget kontrollerar varje app.
Du vet inte exakt vad dessa appar gör – de kommer inte från stora utvecklare, de kommer från vanliga människor, säger Charlie Miller, en iPhone-säkerhetsexpert och huvudanalytiker med Independent Security Evaluators. IPhone begränsar automatiskt vad program kan göra med en så kallad sandlåda, men dessa begränsningar är inte särskilt strikta, vilket betyder att det inte är svårt att samla in personlig information, säger Miller. De körs i en sandlåda, men det är en ganska mild sandlåda.
De fyra forskarna analyserade 825 appar tillgängliga gratis på Apples App Store och ytterligare 582 appar på Cydia-förrådet, en tjänst som gör programvara tillgänglig för användare som har tagit bort Apples säkerhetsåtgärder från sina iPhones, en process som kallas jailbreaking.
Egele och hans kollegor definierade en kränkning av integriteten som en incident där ett program läser känslig information – adresser, telefonnummer, information om e-postkonton – från enheten och skickar dessa data över Internet utan att fråga om lov. Forskarna hade inget sätt att upptäcka om användaren blev lurad att ge sitt samtycke.
Beskrivningen av integritet som vi kom fram till är att vi inte ville att känslig data från den mobila enheten extraherades utan att användaren vet, säger Egele. Men vi kan inte säga om det är skadligt eller inte.
Forskarna utvecklade programvara för att testa varje programs funktionalitet och för att avgöra om det samlade in och överförde känslig information utan att informera användaren. De var också tvungna att dechiffrera hur vissa appar fungerar med endast begränsad information.
En intressant insikt från forskningen: appar från App Store var mer benägna att i smyg komma åt användardata än appar från det opoliserade Cydia-förrådet, säger Egele.
Miller säger att Apple borde förbättra sin process för granskning av applikationer. Det finns ingen lätt lösning på problemet, men att ha ett centralt clearinghus (som Apple) är det bästa sättet att göra det, säger han. Men just nu gör Apple förmodligen inte det rätt.