Video: Sharexls (Novembre 2024)
Molte app mobili vengono fornite con una serie di annunci, la possibilità di connettersi ai social media o entrambi. Questi possono sembrare componenti aggiuntivi innocui, inseriti nell'app a scopo di lucro per lo sviluppatore dell'app. Tuttavia, queste funzionalità possono avere la possibilità di accedere alle informazioni personali dell'utente o alle informazioni di identificazione personale. La capacità dei componenti aggiuntivi di accedere a informazioni riservate è pericolosa non solo perché le sue funzioni possono raccogliere informazioni sensibili dopo che l'utente ha approvato le autorizzazioni dell'app, ma le informazioni possono anche essere esposte all'insaputa dell'utente.
Uno studio di Mojave Networks, una startup di sicurezza tecnologica con sede a San Mateo, in California, ha utilizzato i loro Threat Labs per testare 11 milioni di URL che inviano e ricevono dati in oltre 2000 app installate dai suoi clienti, con lo studio incentrato sugli utenti aziendali. Questi URL sono stati quindi inseriti in categorie in base alla loro connessione a una delle tre librerie: reti pubblicitarie, API di social media o API di analisi. I risultati hanno mostrato che il 78 percento delle app scaricate si connetteva a uno dei tre gruppi, il che metteva a rischio gli utenti per l'accesso sconosciuto alle loro informazioni personali o, peggio ancora, per la perdita di dati personali o aziendali.
Mancanza di responsabilità
Ciò che è ancora più scioccante è il modo in cui queste librerie sono implementate. Sono utilizzati dallo sviluppatore, che riceve il codice da una terza parte. Questi codici vengono principalmente utilizzati per aiutare a raccogliere entrate pubblicitarie, tenere traccia delle statistiche degli utenti o integrarsi con i social media. Il rapporto menziona che ci sono migliaia di queste librerie disponibili e, per la maggior parte, questi codici di terze parti di solito non raccolgono informazioni personali. Tuttavia, non tutti possono essere attendibili. Nella maggior parte dei casi lo sviluppatore implementerà di solito il codice con una revisione minima o nulla di ciò che contiene, lasciandovi la decisione di fidarsi ciecamente del giudizio dello sviluppatore e rischiare la possibilità di consentire a queste librerie di accedere ai dati a vostra insaputa.
A peggiorare le cose, l'utente è vincolato dalle politiche particolari della biblioteca semplicemente scaricando e installando l'app senza mai vedere i dettagli della politica. Dal punto di vista aziendale, ciò può comportare una mancanza di responsabilità e rendere difficile per gli amministratori IT decidere quale app rappresenta un rischio per la sicurezza.
In media, ogni app ha circa nove autorizzazioni. Cinque di questi sono considerati molto pericolosi poiché possono fornire accesso a informazioni che verrebbero altrimenti private. Ad esempio, Airpush, una delle principali librerie di annunci dello studio, raccoglie i seguenti dati:
- ID Android
- Marca e modello del dispositivo
- Tipo e versione del browser mobile
- indirizzo IP
- Un ID generato da Airpush
- Elenco delle app mobili installate sul telefono.
- "Altri dati tecnici sul tuo dispositivo."
Se gli dai il permesso di farlo, Airpush può anche raccogliere:
- Localizzazione geografica precisa comprensiva di Paese e codice postale.
- ID dispositivo tra cui il numero IMEI (International Mobile Equipment Identity), il numero di serie del dispositivo e l'indirizzo MAC (Media Access Control).
- Cronologia del browser e altro.
Gli utenti possono annullare la raccolta di alcuni dati come l'elenco delle app mobili installate e la cronologia del browser.
Se installi un'app che utilizza Airpush, puoi accedere a tutte queste informazioni a tua insaputa. La parte peggiore è che questo ampio accesso alle informazioni private è tipico e nulla di nuovo nel mercato delle app mobili.
Prevenzione dell'utente
C'è solo così tanto che l'utente può fare in termini di autorizzazione e riduzione delle autorizzazioni per ciascuna app, soprattutto se desidera sfruttare appieno il potenziale dell'app. Fortunatamente, ci sono due grandi app che si occupano di rilevare queste potenziali violazioni.
Se Lookout determina che una rete pubblicitaria agisce da sola, senza il consenso dell'utente, classifica la rete come adware. Inoltre fornisce informazioni sull'adware tra cui la sua identificazione, funzione e potenziale danno per l'utente. viaProtect è un altro ottimo strumento, che fornisce un grafico visivo su dove stanno andando i dati degli utenti in termini di rete e paese e in che misura vengono crittografati. Ciò consente all'utente di prendere una decisione informata sull'eliminazione o meno di determinate app che forniscono troppe informazioni.
La sicurezza è fondamentale nell'era digitale. App come Lookout e viaProtect informano gli utenti se i loro dati sono a rischio, ma è ancora difficile impedire alle biblioteche di accedere alle PII di un utente. Per ora, leggere la stampa fine e prendere una decisione informata è il modo migliore per contrastare l'accesso indesiderato su un dispositivo mobile.