Video: 12 Pericolose App di Android Che Devi Immediatamente Cancellare (Novembre 2024)
Alcune app fiscali e finanziarie correlate per Android e iOS potrebbero raccogliere e condividere inutilmente i dati degli utenti. Hai una di queste app sul tuo dispositivo mobile?
Appthority ha analizzato diverse app di gestione finanziaria fiscale per dispositivi Android e iOS e ha identificato una manciata di comportamenti rischiosi, tra cui il monitoraggio della posizione degli utenti, l'accesso all'elenco dei contatti e la condivisione dei dati degli utenti con terze parti, Domingo Guerra, presidente e fondatore di Appthority, ha dichiarato a SecurityWatch.
Molte app trasmettono dati dell'utente come posizione e informazioni sui contatti estratti dalla rubrica verso reti pubblicitarie di terze parti, secondo Appthority. La maggior parte delle comunicazioni con le reti pubblicitarie è avvenuta in chiaro. Sebbene avesse senso che l'app H&R Block avesse accesso alla posizione dell'utente, poiché l'app consente agli utenti di trovare lo storefront più vicino, "non era molto chiaro il motivo per cui" le app rimanenti necessitavano di tali informazioni.
"Il resto sta solo condividendo quel luogo con le reti pubblicitarie", ha detto Guerra.
L'elenco delle app comprendeva "grandi app fiscali e alcuni nuovi arrivati più piccoli" come H&R Block TaxPrep 1040EZ e le app H&R Block complete, TaxCaster e My Tax Refund di Intuit (la società dietro TurboTax), Income Tax Calculator 2012 di uno sviluppatore chiamato SydneyITGuy e Federal Tax 1040EZ di RazRon, ha detto Guerra. Appthority ha eseguito la sua analisi utilizzando il proprio servizio automatizzato di gestione dei rischi delle app mobili.
Debole a nessuna crittografia
Le app in genere avevano una crittografia debole e hanno optato per proteggere selettivamente parte del traffico dati, invece di crittografare tutto il traffico, secondo Appthority. Alcune delle app - Guerra non hanno specificato quali - hanno usato codici di crittografia prevedibili invece di sfruttare i randomizzatori di crittografia. Le app "senza nome", come quella di RazRon, non utilizzavano affatto la crittografia.
Una delle app di grandi nomi includeva percorsi di file per il codice sorgente nelle informazioni di debug all'interno dell'eseguibile. I percorsi dei file spesso includono nomi utente e altre informazioni che potrebbero essere utilizzate per indirizzare lo sviluppatore o l'azienda dell'app, ha affermato Appthority. Ancora una volta, Guerra non ha identificato l'app per nome.
Mentre "non è generalmente un grosso rischio perdere queste informazioni", "dovrebbe essere evitato se possibile", ha detto Guerra.
Esposizione dei dati
Alcune app offrivano una funzione in cui l'utente poteva scattare una foto del W2 e l'immagine veniva quindi salvata nel "rullino fotografico" del dispositivo, appthority trovato. Questo potrebbe essere un problema serio per gli utenti che caricano o si sincronizzano automaticamente con i servizi cloud come iCloud o Google+ poiché l'immagine viene salvata in posizioni non sicure e potenzialmente esposta.
Entrambe le versioni iOS e Android dell'app H&R Block 1040EZ utilizzavano reti pubblicitarie come AdMob, JumpTab e TapJoyAds, ma la versione completa dell'app H&R Block non visualizza annunci pubblicitari, osserva Appthority.
iOS vs Android
Non ci sono state molte differenze nei tipi di comportamenti rischiosi tra le versioni iOS e Android della stessa app, ha detto Guerra. La maggior parte delle differenze si riduce a come il sistema operativo gestisce le autorizzazioni. Android richiede che l'app visualizzi tutte le autorizzazioni prima che l'utente possa installare ed eseguire l'app con un approccio tutto o niente. Al contrario, iOS chiede l'autorizzazione quando si presenta la situazione. Ad esempio, l'app iOS non avrà accesso alla posizione dell'utente fino a quando l'utente non tenta di utilizzare la funzione di localizzazione dello store.
In base alle ultime regole, iOS 6 vieta agli sviluppatori di app di tracciare gli utenti in base all'ID dispositivo e ai numeri UDID o EMEI. Questa pratica è ancora comune tra le app Android. La versione iOS dell'app H&R Block 1040EZ non tiene traccia dell'utente, ma la versione Android della stessa app lo fa raccogliendo l'ID del dispositivo mobile, le informazioni sulla costruzione e sulla versione della piattaforma mobile e l'ID dell'abbonato del dispositivo mobile, ha detto Guerra.
L'app H&R Block completa su richieste Android ed è in grado di accedere a un elenco di tutte le altre app installate sul dispositivo. La versione iOS dell'app non ha accesso a queste informazioni perché il sistema operativo non lo consente.
Rischioso o no?
Non c'è nulla di particolarmente rischioso a questo punto, queste app non trasmettono password e documenti finanziari in chiaro. Tuttavia, resta il fatto che le app condividono inutilmente i dati degli utenti. Ad eccezione di un'app, nessuna delle altre app offriva una funzione di localizzazione dello store. Perché, quindi, queste altre app avevano bisogno dell'accesso alla posizione dell'utente? Perché queste app necessitano dell'accesso ai contatti dell'utente? Ciò non sembra necessario per la preparazione delle tasse.
Appthority ha esaminato alcune vecchie app "per dimostrare un punto", ha detto Geurra. Molte di queste app hanno una data di scadenza, ad esempio le app fiscali del 2012, in cui gli utenti non dovrebbero più utilizzarlo dopo averlo finito.
Queste "app usa e getta" sono raramente estratte dal mercato e gli utenti dovrebbero essere consapevoli del fatto che queste app hanno accesso ai dati sui dispositivi dell'utente.