Studie: Aplikace mobilních telefonů zobrazují soukromá data více než je potřeba

Aplikace mobilních telefonů přistupují k soukromým datům uživatelů a jejich přenos na vzdálené servery mnohem více než se zdá být nezbytně nutné, zatímco uživatelé mají nedostatečné nástroje k monitorování nebo kontrole tohoto přístupu, podle nové studie dvou francouzských vládních agentur.

Francouzská národní komise pro výpočty a svobodu (CNIL) zkoumala chování 189 aplikací na šest iPhony vybavené monitorovacím softwarem a analytickými nástroji vyvinutými Francouzským národním ústavem pro výzkum v oblasti výpočetní techniky a řízení (INRIA). Cílem bylo zlepšit obecné pochopení způsobu, jakým aplikace aplikují soukromá data, nikoliv ukazovat prst na konkrétní vývojáře, řekl prezident CNIL Isabelle Falque-Pierrotin v úterý na tiskové konferenci k prezentaci výzkumu.

Spíše než studovat aplikace v laboratoři podmínkách, CNIL přistoupil k reálnému přístupu a požádal šest dobrovolníků o vložení jejich vlastních SIM karet do telefonů a jejich používání od poloviny října do poloviny ledna. Jeden dobrovolník stáhl téměř 100 aplikací a jeden přidal pouhých pět k těm, které nainstaloval Apple.

[Další informace: Nejlepší Android telefony pro každý rozpočet.]

Jeden z 12 aplikací přistupoval k adresáři a téměř jedna ze tří dostupných informací o poloze. V průměru byli uživatelé během studie sledováni 76krát denně. Aplikace Foursquare a vlastní aplikace Mapy požadovaly informace o umístění nejčastěji - možná pochopitelné vzhledem k jejich účelu - s aplikací Aplikace Aplikace Apple a Apple Camera Close behind.

Název aplikace iPhone byl zpřístupněn jednou aplikací ze šesti, což výzkumníci našli nevysvětlitelné, protože slouží téměř žádný účel a zdaleka není jedinečný identifikátor, ačkoli protože často obsahuje uživatelské jméno, mohlo by to být považováno za osobně identifikovatelnou informaci.

Aplikace Facebooku se zřejmě pokoušela o přístup k takovým soukromým informacím - ale pak řekli vědci, výzkumníci ve dvou francouzských vládních agenturách CNIL a INRIA chtějí uživatelům Apple iOS dodatečnou kontrolu nad tím, jak aplikace přistupují k jejich soukromým informacím, a umožňují jim tak tento přístup kdykoli přezkoumat a změnit.

Údaje, které byly ve studiích nejvíce přístupné, představovaly univerzální identifikátor zařízení (UDID) pro iPhone, trvalé sériové číslo s telefonem. Téměř polovina aplikací se k němu připojila a jeden ze tří uživatelů odeslal přes Internet nešifrovaný. Aplikace jednoho denního tisku se v průběhu studie objevila 1,989krát během studie a poslala jej 614krát svým vydavatelům.

Mluvčí CNIL Stéphane Petitcolas ukázal, jak mohou uživatelé znovu získat kontrolu s novým nastavovacím nástrojem, který omezuje, jak aplikace přistupují ke všem soukromým informace, stejně jako Apple umožňuje uživatelům řídit přístup k informacím o poloze dnes. Apple zatím neviděl nástroj, ale společnost INRIA by uvažovala o sdílení kódu, pokud by se o to společnost zajímala, řekl Claude Castelluccia, ředitel výzkumného týmu.

Kupující aplikací pro iPhone nemají ponětí, jaké informace nebo funkce budou mít aplikace. Obchod Google Play informuje o tom, jaké informace a funkce má aplikace přístup - ale výběr je vše nebo nic. Starší verze softwaru BlackBerry OS daly uživatelům větší volnost při výběru rozhraní API, které by umožňovaly aplikaci přístup, s rizikem rozbití aplikace, avšak v BlackBerry 10 je granulární kontrola dostupná pouze pro přirozené aplikace: Aplikace pro Android je volba znovu přijata nebo ji opusťte.

Společnost Apple podniká kroky k tomu, aby dala uživatelům takové ovládání. V prostředí iOS 5 by mohly zabránit jednotlivým aplikacím v přístupu k jejich umístění a v systému iOS 6 budou mít jinou možnost, protože Apple se snaží ztratit vývojáře pomocí nástroje UDID k identifikaci uživatelů a cílení reklamy.

Místo toho společnost Apple chce, aby vývojáři používali identifikátor inzerce, který zavedl v systému iOS 6. Toto není trvale spojeno s telefonem nebo osobou a uživatelé, kteří nechtějí být sledováni, mohou změnit, kdykoli si to přejí - pokud si myslí, že podívejte se více na nastavení / obecné / o / reklamě než na zřetelnější nastavení / soukromí

. Tato možnost však nebyla pro účastníky studie CNIL-INRIA k dispozici, což bylo z technických důvodů provedeno pomocí iOS 5. další fáze výzkumu použije systém iOS 6, když INRIA aktualizuje svou aplikaci pro monitorování, aby použila novou verzi.

Aby bylo možné monitorovat, jak aplikace přistupují k soukromým informacím, musel společnost INRIA zavřít iPhone a nainstalovat speciální aplikaci, Rozhraní API, pomocí kterých aplikace žádají o přístup k soukromým informacím, řekl výzkumník společnosti INRIA Vincent Roca. Výzkumníci se rozhodli pracovat na iPhonech, protože již mají zkušenosti se systémem iOS. V současné době vyvíjejí aplikaci s podobnými schopnostmi pro telefony Android, které musí instalovat.

Aplikace monitoringu společnosti INRIA zaznamenávala každou zachycenou žádost v databázi v telefonu společně s požadovanými soukromými informacemi, takže mohl ji identifikovat v odchozí síťové komunikaci. Aplikace iOS 5 mohla sledovat pouze nezašifrovaný síťový provoz, ale verze pro systém iOS 6 nyní může zachytit síťové rozhraní API před tím, než je šifrována, informovala Roca.

Aplikace rovněž předala zadržené žádosti na centrální server pro studium - bez že i experimentální subjekty mají nárok na soukromí, výzkumníci zdůraznili.

INRIA a CNIL teprve začínají analyzovat data, která shromáždili ze šesti iPhonů: Je 9 gigabajtů z toho, které pokrývají 7 milionů soukromí události během tříměsíčního období

Jedna věc, kterou již studie ukázala, je, že přístup k soukromým údajům je náhodný. Aplikace pro identifikaci nejbližšího parního bazénu (město má 38 v okruhu asi 5 kilometrů) přistupovalo k informacím o poloze mnohem více, než je nezbytné k plnění své funkce, zřejmě kvůli programové chybě, uvedl Petitcolas CNIL