บ้าน Securitywatch รูปแบบการอนุญาตของ Android จะถูกเปรียบเทียบกับ Apple iOS

รูปแบบการอนุญาตของ Android จะถูกเปรียบเทียบกับ Apple iOS

วีดีโอ: गरà¥?à¤à¤µà¤¸à¥?था के दौरान पेट में लड़का होठ(ธันวาคม 2024)

วีดีโอ: गरà¥?à¤à¤µà¤¸à¥?था के दौरान पेट में लड़का होठ(ธันวาคม 2024)
Anonim

เราให้ความปลอดภัยและความเป็นส่วนตัวค่อนข้างมากเมื่อเราดาวน์โหลดแอพจาก Apple App Store และ Google Play เราไม่ค่อยหยุดตรวจสอบสิ่งที่แอพกำลังทำบนอุปกรณ์ของเราและกับข้อมูลของเราและลืมว่านักพัฒนาซอฟต์แวร์ไม่ได้จัดลำดับความสำคัญความเป็นส่วนตัวของผู้ใช้เมื่อสร้างแอพ

"สิ่งที่ฉันไม่คิดว่าผู้คนตระหนักดีว่าเราไม่ใช่ลูกค้าสำหรับแอพฟรีเหล่านี้ผู้ลงโฆษณาคือ" Michael Sutton รองประธานฝ่ายวิจัยความปลอดภัยของ Zscaler กล่าวกับ Security Watch

นักพัฒนากำลังคิดเกี่ยวกับสิ่งที่ผู้โฆษณาต้องการเมื่อสร้างแอปเหล่านี้และนั่นคือข้อมูลเกี่ยวกับผู้ใช้และความสามารถในการติดตามกิจกรรมของผู้ใช้ Sutton กล่าว ดังนั้นเมื่อพูดถึงการอนุญาตของแอพไม่มีสิ่งใดที่จะหยุดยั้งนักพัฒนาไม่ให้ขอมากกว่าที่พวกเขาต้องการ คนส่วนใหญ่ไม่อ่านรายการการอนุญาตก่อนที่จะยอมรับพวกเขาทั้งหมดเพื่อติดตั้งแอพและโดยทั่วไปคนไม่บ่นว่าแอพดูเหมือนจะขอมากเกินไป มีหลายกรณีที่ผู้พัฒนาขอสิทธิ์โดยไม่คำนึงว่าต้องการหรือไม่

ในความเป็นจริงมี "ไม่ disincentive สำหรับพวกเขาไม่ให้โดยเฉพาะอย่างยิ่งในด้าน Android ของบ้าน" ซัตตันกล่าว

ผลการวิจัย ZScaler

นักวิจัยจาก Zscaler ThreatLabz ทำการวิเคราะห์แอป iOS 550 แอพและ 75, 000 แอพ Android เพื่อทำความเข้าใจว่าระบบปฏิบัติการมือถือสองเครื่องเข้าใกล้ความเป็นส่วนตัวและความปลอดภัยอย่างไร ในการวิเคราะห์แบบสแตติกทีมค้นหาอินสแตนซ์จริงในรหัสที่เรียกใช้ฟังก์ชันที่ต้องการระดับการเข้าถึงเฉพาะ ด้วยวิธีนี้พวกเขาสามารถตรวจสอบได้ว่าฟังก์ชั่นนั้นใช้สิทธิ์ที่ได้ขอมาจริงๆ

การค้นพบนี้ค่อนข้างลึกซึ้งและน่าสนใจเช่นความจริงที่ว่ากว่า 60 เปอร์เซ็นต์ของแอพ iOS ในหมวดหมู่ "เกมและความบันเทิง" ขออนุญาตจากฟังก์ชั่นโทรศัพท์และตำแหน่งทางภูมิศาสตร์ Zscaler เรียกการค้นพบนี้ว่า "น่าเป็นห่วง" โดยสังเกตว่ามีรายงานล่าสุดของแอพที่สอดแนมกิจกรรมของผู้ใช้ จำนวนนั้นสูงกว่าสำหรับแอป Lifestyle ที่มีฟังก์ชันการร้องขอ 81 เปอร์เซ็นต์ โดยรวมแล้ว 34 เปอร์เซ็นต์ของแอพ iOS ขออนุญาตการเข้าถึงสมุดรายชื่อ 83 เปอร์เซ็นต์ที่ร้องขอการเข้าถึงอีเมลและ 46 เปอร์เซ็นต์สามารถอ่านปฏิทินของผู้ใช้ได้

"ด้วย 97 เปอร์เซ็นต์ของแอปที่ใช้ฟังก์ชันการทำงานอย่างน้อยหนึ่งอย่างที่ถูกติดตาม (สมุดที่อยู่, โทรศัพท์, ที่ตั้ง, ปฏิทินอีเมลหรือ UUID) ตามที่ระบุไว้เรากำลังถูกบริโภคมากขึ้นหากไม่มากไปกว่าที่เราบริโภค" Zscaler เขียน บล็อก

ในด้าน Android Zscaler พบว่า 68 เปอร์เซ็นต์ของแอพที่ร้องขอการอนุญาต SMS ขอความสามารถในการส่งข้อความ SMS นี่เป็นสิ่งที่ต้องกังวลเมื่อพิจารณาถึงความนิยมในการฉ้อโกง SMS และสแปมหลอกให้ผู้ใช้ส่งข้อความไปยังหมายเลขพรีเมี่ยม อีก 28 เปอร์เซ็นต์ของแอพที่มีสิทธิ์ SMS ขอความสามารถในการอ่านข้อความ SMS นี่เป็นอีกประเด็นที่น่ากังวลเมื่อคุณพิจารณาจำนวนเว็บไซต์ธนาคารบนมือถือและบริการอื่น ๆ ที่ส่งรหัสผ่าน SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยหรือเพื่อยืนยันการทำธุรกรรมเฉพาะ “ นั่นเป็นการอนุญาตที่มีความเสี่ยงมากในการให้แอป” ซัตตันกล่าวโดยแจ้งว่า Apple ไม่ได้ให้อนุญาต

สิ่งที่ดีคือในขณะนี้แอพน้อยกว่า 10 เปอร์เซ็นต์ในขณะนี้ขอสิทธิ์ SMS แต่ยังคง.

จากการวิเคราะห์แอพ Android พบว่า Zscaler พบว่าร้อยละ 36 ร้องขอข้อมูลตำแหน่งและ 46 เปอร์เซ็นต์ขออนุญาตจากรัฐของโทรศัพท์ซึ่งอนุญาตให้แอปเข้าถึงข้อมูลซิมการ์ดและตัวระบุ IMEI เฉพาะของโทรศัพท์

“ มันเป็นความสมดุลที่ละเอียดอ่อนระหว่างสิ่งที่เรายินดีที่จะยอมแพ้เพื่อแลกกับใบสมัครฟรี” ซัตตันกล่าว

Android เปิดเผยผู้ใช้ให้รับความเสี่ยงเพิ่มเติม

ปัญหาที่ใหญ่ที่สุดที่เกี่ยวข้องกับ Sutton ก็คือความจริงที่ว่า Android ไม่ได้ให้สิทธิ์ผู้ใช้ในการควบคุมว่าแอพมีอะไรบ้าง "ฉันไม่ใช่แฟนตัวยงของหุ่นยนต์ทั้งหมดหรือไม่มีเลยใน Android" ซัตตันพูดเรียกมันว่า "อันตราย"

มันเป็นเรื่องน่าเศร้าเล็กน้อยเพราะ Android ไปได้ไกลกว่า iOS ในการควบคุมระดับของนักพัฒนา อย่างไรก็ตามระดับการควบคุมนั้นไม่ได้ส่งต่อไปยังแอพนั้นเองเนื่องจากหากผู้ใช้ไม่ชอบการอนุญาตเฉพาะที่แอปขอมาผู้ใช้จะไม่สามารถติดตั้งแอปได้ ในทางกลับกัน Apple ติดตั้งแอพ iOS และเมื่อจำเป็นต้องใช้ฟังก์ชั่นเฉพาะแจ้งให้ผู้ใช้รับอนุญาต

“ นั่นเป็นสิ่งหนึ่งที่ Apple ทำได้ดีกว่า” ซัตตันกล่าว เขากล่าวว่า "วิธีการที่เหนือกว่า" ในการอนุญาตภายใต้รูปแบบ iOS จะช่วยปกป้องผู้บริโภคได้ดีขึ้น

Apple ยังต่อสู้เพื่อป้องกันไม่ให้นักพัฒนาติดตามอุปกรณ์ Sutton กล่าว เดิมนักพัฒนาซอฟต์แวร์ได้รับอนุญาตให้สืบค้น UDID ที่ไม่ซ้ำกันของอุปกรณ์ซึ่งผู้โฆษณาสามารถใช้เพื่อสร้างโปรไฟล์และเข้าใจประเภทของแอพที่ผู้ใช้ใช้ แม้ว่า Apple จะห้ามการใช้ UDID แต่ Zscaler พบว่า 38 เปอร์เซ็นต์ของแอพ iOS ในการวิเคราะห์ยังคงมีการเข้าถึง Apple ยังห้ามนักพัฒนาไม่ให้ติดตามที่อยู่ MAC UUID เป็นวิธีการที่ต้องการเนื่องจากเป็นค่าที่ไม่ซ้ำกันที่สร้างขึ้นต่อแอพและอุปกรณ์ป้องกันผู้โฆษณาไม่ให้ติดตามผู้ใช้ข้ามแอพ

Apple ได้ "ต่อสู้เพื่อต่อสู้เพื่อป้องกันไม่ให้ผู้พัฒนาอุปกรณ์ติดตาม" Sutton กล่าว "Google ไม่ได้ทำสิ่งใดในอาณาจักรนั้น"

รูปแบบการอนุญาตของ Android จะถูกเปรียบเทียบกับ Apple iOS