Casa Securitywatch Il modello di autorizzazione Android fa schifo rispetto a Apple iOS

Il modello di autorizzazione Android fa schifo rispetto a Apple iOS

Video: PROVATE BLLOC RATIO! Rivoluziona Android, fa bene ed è gratis (Novembre 2024)

Video: PROVATE BLLOC RATIO! Rivoluziona Android, fa bene ed è gratis (Novembre 2024)
Anonim

Rinunciamo a un sacco di sicurezza e privacy quando scarichiamo app dall'App Store di Apple e Google Play. Raramente ci fermiamo a controllare cosa stanno facendo le app sui nostri dispositivi e con i nostri dati e dimentichiamo che gli sviluppatori non danno la priorità alla privacy degli utenti durante la creazione dell'app.

"La cosa che non credo le persone si rendano conto che non siamo i clienti di queste app gratuite. Gli inserzionisti sono", ha detto a Security Watch Michael Sutton, vicepresidente della ricerca sulla sicurezza di Zscaler.

Gli sviluppatori stanno pensando a cosa vogliono gli inserzionisti quando creano queste app, ovvero informazioni sugli utenti e la capacità di tracciare l'attività degli utenti, ha affermato Sutton. Quindi, quando si tratta di autorizzazioni per le app, non c'è nulla che impedisce agli sviluppatori di chiedere più di quanto necessitano. La maggior parte delle persone non legge l'elenco delle autorizzazioni prima di accettarle tutte per installare l'app e in genere le persone non si lamentano se l'app sembra richiedere troppe. Ci sono casi in cui gli sviluppatori chiedono autorizzazioni indipendentemente dal fatto che effettivamente ne abbiano bisogno.

In realtà, non c'è "disincentivo per loro di non farlo, specialmente sul lato Android della casa", ha detto Sutton.

Risultati della ricerca di ZScaler

I ricercatori di Zscaler ThreatLabz hanno analizzato 550 app iOS e 75.000 app Android per capire come i due sistemi operativi mobili si avvicinano alla privacy e alla sicurezza. Nella sua analisi statica, il team ha cercato istanze effettive nel codice in cui sono state chiamate funzioni che richiedono livelli di accesso specifici. In questo modo, potevano verificare che la funzione stesse effettivamente utilizzando l'autorizzazione richiesta.

I risultati sono abbastanza approfonditi e affascinanti, come il fatto che oltre il 60 percento delle app iOS nella categoria "Giochi e intrattenimento" richiede l'autorizzazione per le funzioni di telefonia e la geolocalizzazione. Zscaler ha definito questa scoperta "preoccupante", rilevando che ci sono stati recenti rapporti di app che spiano l'attività degli utenti. Quel numero è più alto per le app Lifestyle, con l'81% di richieste di funzionalità. Complessivamente, il 34 percento delle app iOS ha chiesto l'autorizzazione ad accedere alla rubrica, l'83 percento ha richiesto l'accesso alla posta elettronica e il 46 percento ha potuto leggere il calendario dell'utente.

"Con le app del 97 percento che utilizzano almeno una delle funzionalità monitorate (rubrica, telefonia, posizione, calendario e-mail o UUID), come detto, siamo consumati tanto, se non di più, di quanto consumiamo", ha scritto Zscaler il blog.

Sul lato Android, Zscaler ha riscontrato che il 68 percento delle app che richiedono autorizzazioni SMS richiede la possibilità di inviare messaggi SMS. Questo è qualcosa di cui preoccuparsi, considerando la popolarità delle frodi SMS e dello spam che inducono gli utenti a inviare messaggi a numeri premium. Un altro 28% delle app con autorizzazioni SMS richiede anche la possibilità di leggere i messaggi SMS. Questa è anche un'altra area di preoccupazione se si considera il numero di siti di mobile banking e altri servizi che inviano codici via SMS per l'autenticazione a due fattori o per confermare transazioni specifiche. "È un'autorizzazione molto rischiosa per concedere un'app", ha detto Sutton, osservando che Apple non concede nemmeno questa autorizzazione.

La cosa positiva è che al momento meno del 10 percento delle app richiede autorizzazioni SMS. Ma ancora.

Delle app Android analizzate, Zscaler ha riscontrato che il 36% ha richiesto informazioni sulla posizione e il 46% ha chiesto l'autorizzazione di stato del telefono, che consente alle app di accedere alle informazioni della carta SIM e all'identificatore IMEI univoco del telefono.

"È un delicato equilibrio tra ciò a cui siamo disposti a rinunciare in cambio di un'applicazione gratuita", ha detto Sutton.

Android espone gli utenti a più rischi

Il problema più grande, per quanto riguarda Sutton, era il fatto che Android non dava agli utenti alcun controllo su quali autorizzazioni potevano avere le app. "Non sono un fan del modello tutto o niente su Android", ha detto Sutton, definendolo "pericoloso".

È un po 'triste, perché Android in realtà va oltre iOS e offre agli sviluppatori livelli di controllo molto granulari. Tuttavia, quel livello di controllo non passa all'app stessa, poiché se l'utente non gradisce un'autorizzazione specifica richiesta dall'app, l'utente non può installare l'app. D'altra parte, Apple installa l'app per iOS e, quando è necessaria una funzionalità specifica, richiede all'utente l'autorizzazione.

"Questa è una cosa che Apple fa meglio", ha detto Sutton. Ha detto che "l'approccio superiore" alle autorizzazioni nell'ambito del modello iOS fa un lavoro migliore proteggendo i consumatori.

Apple ha anche lottato per impedire agli sviluppatori di localizzare i dispositivi, ha affermato Sutton. Inizialmente, gli sviluppatori potevano interrogare l'IDID univoco del dispositivo, che gli inserzionisti potevano utilizzare per creare profili e comprendere quale tipo di app utilizzavano gli utenti. Anche se Apple ha vietato l'uso di UDID, Zscaler ha scoperto che il 38 percento delle app iOS nella sua analisi aveva ancora accesso. Apple ha inoltre proibito agli sviluppatori di tenere traccia degli indirizzi MAC. L'UUID è l'approccio preferito in quanto è un valore unico generato per app e dispositivo, impedendo agli inserzionisti di tracciare gli utenti attraverso le app.

Apple ha "davvero combattuto una battaglia per impedire agli sviluppatori di localizzare i dispositivi", ha detto Sutton. "Google non ha fatto nulla in quel regno."

Il modello di autorizzazione Android fa schifo rispetto a Apple iOS