Почти половина мобильных приложений, работающих на операционной системе IOS от Apple, получают доступ к уникальному идентификатору устройства, на которое они загружены, по крайней мере согласно исследованию компьютерных специалистов из Университета Калифорнии, Сан-Диего.
Кроме того, более чем 13 процентов получают доступ к месторасположению устройства и более, чем 6 процентов к его адресной книге. Исследователи разработали новое приложение, которое определяет, какие другие приложения, работающие на устройствах IOS, пытаются получить доступ к вашим данным.
Выводы основаны на изучении 130 000 пользователей взломанных устройств IOS, где пользователи целенаправленно удалили ограничения, которые запрещают приложениям доступ к операционной системе iPhone. Большинство приложений в исследовании были скачаны с App Store компании Apple и получили доступ к однотипной информации на разблокированных, взломанных телефонах и на заблокированных телефонах, сказал Юрвей Агарвал, ученый-исследователь в отделе компьютерных наук и инженерии в Калифорнийском университете в Сан-Диего, который является соавтором исследования в паре с другим ученым, Малколмом Холлом. Агарвал представит результаты на ACM MobiSys, конференции мобильных систем, которая состоится с 25 по 28 июня в Тайбэе, Тайвань.
Полученные данные свидетельствуют о том, что, хотя App Store компании Apple больше не принимает новые приложения или обновления приложений, имеющие доступ к уникальному идентификатору по состоянию на март этого года, многие приложения все еще могут овладеть этой информацией. Уникальный идентификатор позволяет поставщикам приложений и рекламодателям отслеживать поведение пользователей при использовании различных приложений на своих устройствах, в том числе iPhone'ов, IPAD`ов и плееров. Кроме того, некоторые приложения могут связать свой уникальный идентификатор с электронной почтой пользователя и другой личной информацией.
Исследователи полагают, что это первый раз, когда кто-то сделал такое обширное исследование, сосредоточенное на конфиденциальности IOS-приложений с использованием большого среза пользователей.
Для проведения своего исследования, исследователи разработали свое приложение, которое называется ProtectMyPrivacy или PMP. Оно позволяет пользователям узнать, какие личные данные другие приложения, установленные на устройство пользователя, пытаются получить. PMP позволяет пользователям выборочно разрешать или запрещать доступ к этой информации для определенных приложений, исходя из того, какая именно информация им необходима для того, чтобы нормально функционировать, например, приложение Maps должно получить доступ к месту размещения устройства для определения направления движения. IOS устройства в настоящее время уведомляют пользователей, когда приложения пытаются получить доступ к расположению, фотографиям и контактам. Но они не извещают пользователя приложений о доступе к уникальному идентификатору или музыкальной библиотеке и пользователи не могут отказать в доступе к этим двум частям информации.
Кроме непосредственно сбора данных для изучения, исследователи также добавили уведомления и рекомендации, что появляются, когда приложение обращается к другой конфиденциальной информации, такой как передняя и задняя камеры устройства, микрофон и фотографии.
PMP также дает рекомендации о том, как стоит позволить другим приложениям осуществлять доступ к данным пользователя, основанные на обширном "движке рекомендаций", который компилирует решения конфиденциальности, принимаемые другими пользователями.
.jpg)
"Мы хотели бы расширить возможности пользователей, чтобы они могли взять контроль над своей частной жизнью", сказал Агарвал, который также является выпускником Школы Jacobs UC San Diego и руководителем разработки. "Выбор должен быть в руках пользователей."
Для заблокированных устройств, исследователи в настоящее время предоставляют веб-страницу, которая сообщает пользователям информацию о более чем 150 популярнейших приложений для IOS, которые пытаются получить доступ, и рекомендации о том, стоит ли им разрешить или запретить его. Страницу можно посмотреть здесь.
Например, Facebook, одно из самых популярных приложений, получает доступ к идентификатору устройства, его местоположению и контактам. Движок рекомендаций PMP рекомендует отказ в доступе к идентификатору и контактам, но предоставлению доступа к местоположению.
ProtectMyPrivacy уже скачали из магазина Cydia более чем 130 000 пользователей с марта 2012 года. Пользователи скачали и использовали более 225 000 уникальных приложений из App Store компании Apple. Исследователи проанализировали данные, используемыми этими приложениями и обнаружили, что 48,1 проценту из них доступен уникальный идентификатор устройства; 13,2 проценту информация о местоположении; 6,2 процентам адресная книга, и 1,6 проценту музыкальная библиотека.
По состоянию на январь 2013 года, Apple сообщила, что она продала 500 миллионов IOS устройств. Оценки того, сколько из них взломаны, варьируются, но Forbes сообщил в феврале 2013 года, что семь миллионов устройств были взломаны всего за четыре дня после того, как был выпущен новый инструмент для джейлбрейка. Cydia, магазин приложений, который обслуживает только взломанные устройства, получил 23 миллионов пользователей по состоянию на март 2013, что является значительной частью мобильных устройств Apple.
Почти все пользователи, 99 процентов, добровольно поделились своими решениями конфиденциальности, указывая, каким приложениям они разрешают или запрещают доступ к своей личной жизни и конфиденциальным данным. Эти решения, которые собираются анонимно, затем обрабатываются на серверах PMP для генерации решений конфеденциальности, что затем показываются пользователям. В результате PMP способен давать рекомендации по 97 процентам из 10000 наиболее популярных приложений iPhone. "Мы уже показали миллионам пользователей рекомендации и более двух третей всех наших рекомендаций принимаются нашими пользователями, показывая, что им действительно нравится эта уникальная особенность PMP", сказал Агарвал. Пользователи решили запретить доступ к одной или более частям конфиденциальных данных в 48,1 процентах приложений.
Версия PMP, имеющаяся в магазине Cydia, дает пользователям возможность отправлять фиктивную или анонимную информацию любопытным приложениям. Примеры включают в себя адресную книгу, заполненную выдуманными записями, случайное местоположение, которое может быть в совершенно другой стране, и случайно сгенерированный уникальный идентификатор.
Исследователи говорят, что они не рекомендуют пользователям джейлбрейкнутых смартфонов устанавливать PMP, так как это потенциально может оставить пользователей открытыми для других уязвимостей. Но для того, чтобы проводить свои исследования, они должны уметь перехватывать информацию о конфиденциальности защищенных данных, к которым имели доступ приложения. Это потребовало бы низкоуровневого доступа к операционной системе, который технически невозможен на заблокированных, не взломанных, устройствах IOS.
Иногда, это не сами приложения, имеющие доступ к данным, но сторонние библиотеки или код, содержащийся в приложениях. Например, Flixster, популярное приложение для отзывов и рекомендаций к фильмам в своей версии 5.2, был замечен в доступе к некоторым личным данным. Исследователи провели некоторые тесты и обнаружили, что сторонняя рекламная библиотека, используемая приложением, получала доступ к адресной книге пользователей и отправляла обратно информацию.
"Мы обеспечили обратную связь с разработчиками приложения в случае, если они не знают, что третья сторона может получить доступ к личным данным своих пользователей", напомнил Холл, приглашенный исследователь в Лаборатории Синергия Агарвал в Калифорнийском университете в Сан-Диего. Он также отметил, что "обновленная версия Flixster теперь использует другую библиотеку, которая не имеет доступа к такого рода информации."
Агарвал и Холл пытались подать запрос в App Store для размещения "облегченной" версии своего приложения, которое не будет взаимодействовать с операционной системой IOS, но приложение было отклонено. Эта версия дали бы пользователям информацию о данных, доступу к ним определенных приложений и рекомендации о том, что разрешать и запрещать. Она бы не дала пользователям возможность защитить свои данные, предоставляя фиктивную информацию.
Чтобы написать здесь комментарий необходимо