فيديو: History of the iPhone (شهر نوفمبر 2024)
نحن نتنازل عن الكثير من الأمن والخصوصية عندما نقوم بتنزيل التطبيقات من متجر تطبيقات Apple و Google Play. نادراً ما نتوقف عن التدقيق في ما تقوم به التطبيقات على أجهزتنا ومع بياناتنا ، وننسى أن المطورين لا يولون أولوية لخصوصية المستخدم عند إنشاء التطبيق.
وقال مايكل ساتون ، نائب رئيس أبحاث الأمن في Zscaler لـ Security Watch: "الشيء الذي لا أعتقد أن الناس يدركون أننا لسنا العميل لهذه التطبيقات المجانية. المعلنون هم".
قال ساتون إن المطورين يفكرون فيما يريده المعلنون عند إنشاء هذه التطبيقات ، وهي معلومات عن المستخدمين والقدرة على تتبع نشاط المستخدم. لذلك عندما يتعلق الأمر بأذونات التطبيق ، لا يوجد ما يمنع المطورين من المطالبة بأكثر مما يحتاجون إليه. لا يقرأ معظم الأشخاص قائمة الأذونات قبل قبولهم جميعًا لتثبيت التطبيق ، ولا يشكو الأشخاص عمومًا إذا كان التطبيق يبدو أنه يطلب الكثير. هناك حالات يطلب فيها المطورون أذونات بغض النظر عما إذا كانوا يحتاجون إليها بالفعل.
في الواقع ، قال ساتون: "في الواقع ، لا يوجد أي عامل مثبط أمامهم ، لا سيما على الجانب الذي يعمل بنظام أندرويد في المنزل".
نتائج البحث ZScaler
قام باحثون من Zscaler ThreatLabz بتحليل 550 تطبيق iOS و 75،000 تطبيق Android لفهم كيفية تعامل نظامي التشغيل المحمولين مع الخصوصية والأمان. في تحليله الثابت ، بحث الفريق عن الحالات الفعلية في الكود حيث تم استدعاء الوظائف التي تتطلب مستويات معينة من الوصول. وبهذه الطريقة ، يمكنهم التحقق من أن الوظيفة كانت تستخدم الإذن الذي طلبته بالفعل.
النتائج متعمقة ورائعة للغاية ، مثل حقيقة أن أكثر من 60 في المائة من تطبيقات iOS في فئة "الألعاب والترفيه" تطلب الإذن للاتصال بوظائف المهاتفة والموقع الجغرافي. ووصف Zscaler هذا الاستنتاج بأنه "مقلق" ، مشيرًا إلى أنه كانت هناك تقارير حديثة عن تطبيقات تتجسس على نشاط المستخدم. هذا الرقم أعلى لتطبيقات Lifestyle ، مع 81 بالمائة من الوظائف المطلوبة. بشكل عام ، طلبت 34 بالمائة من تطبيقات iOS إذنًا للوصول إلى دفتر العناوين ، و 83 بالمائة طلبت الوصول إلى البريد الإلكتروني ، و 46 بالمائة يمكنهم قراءة تقويم المستخدم.
"مع وجود 97٪ من التطبيقات التي تستخدم واحدة على الأقل من الوظائف التي يتم تتبعها (دفتر العناوين ، الاتصالات الهاتفية ، الموقع ، تقويم البريد الإلكتروني أو UUID) ، كما هو مذكور ، يتم استهلاكنا ، إن لم يكن أكثر ، مما نستهلكه" ، كتب Zscaler على المدونة.
على جانب نظام Android ، وجد Zscaler أن 68 بالمائة من التطبيقات التي تطلب أذونات الرسائل القصيرة تطلب القدرة على إرسال رسائل SMS. هذا شيء يدعو للقلق ، بالنظر إلى شعبية الاحتيال في الرسائل القصيرة والبريد العشوائي الذي يخدع المستخدمين لإرسال رسائل إلى أرقام مميزة. 28 بالمائة من التطبيقات التي لديها أذونات SMS تطلب أيضًا القدرة على قراءة الرسائل القصيرة. يعد هذا أيضًا مجالًا آخر مثيرًا للقلق عندما تفكر في عدد مواقع الخدمات المصرفية عبر الهاتف المحمول والخدمات الأخرى التي ترسل الرموز عبر الرسائل القصيرة SMS للمصادقة ثنائية العوامل أو لتأكيد معاملات محددة. وقال ساتون "هذا إذن ينطوي على مخاطرة كبيرة لمنح التطبيق" ، مشيرًا إلى أن أبل لا تمنح هذا الإذن حتى.
الشيء الجيد هو أنه في الوقت الحالي ، يطلب أقل من 10 بالمائة من التطبيقات حاليًا أذونات الرسائل القصيرة. لكن مازال.
من بين تطبيقات Android التي تم تحليلها ، وجد Zscaler أن 36 بالمائة طلبوا معلومات الموقع و 46 بالمائة طلبوا إذن الدولة للهاتف ، مما يسمح للتطبيقات بالوصول إلى معلومات بطاقة SIM ومعرف IMEI الفريد للهاتف.
وقال ساتون "إنه توازن دقيق بين ما نحن على استعداد للتخلي عنه مقابل طلب مجاني".
يعرض Android المستخدمين لمزيد من المخاطر
كانت المشكلة الأكبر ، فيما يتعلق بـ Sutton ، هي حقيقة أن Android لم يمنح المستخدمين أي سيطرة على الأذونات التي يمكن أن تمتلكها التطبيقات. وقال ساتون "أنا لست من عشاق طراز الكل أو لا شيء في نظام أندرويد" ، ووصفه بأنه "خطير".
إنه لأمر محزن بعض الشيء ، لأن Android يتجاوز فعليًا نظام التشغيل iOS في منح المطورين مستويات عالية جدًا من التحكم. ومع ذلك ، لا ينتقل مستوى التحكم هذا إلى التطبيق نفسه ، لأنه إذا كان المستخدم لا يحبذ إذنًا محددًا يطلبه التطبيق ، فلن يتمكن المستخدم من تثبيت التطبيق. Apple من ناحية أخرى ، تقوم بتثبيت تطبيق iOS ، ثم عندما تكون وظيفة معينة ضرورية ، تطالب المستخدم للحصول على إذن.
"هذا شيء واحد أبل أفضل" ، وقال ساتون. وقال إن "النهج المتفوق" في الأذونات بموجب نموذج iOS يقوم بعمل أفضل لحماية المستهلكين.
قاتل آبل أيضا لمنع المطورين من تتبع الأجهزة ، كما قال ساتون. تم السماح للمطورين في الأصل بالاستعلام عن UDID الفريد للجهاز ، والذي يمكن للمعلنين استخدامه لإنشاء ملفات تعريف وفهم نوع التطبيقات التي يستخدمها المستخدمون. على الرغم من حظر Apple لاستخدام UDID ، إلا أن Zscaler وجد أن 38 بالمائة من تطبيقات iOS في تحليلها لا يزال بإمكانها الوصول. كما حظرت شركة Apple المطورين من تتبع عناوين MAC. يعد UUID هو الأسلوب المفضل لأنه يمثل قيمة فريدة تم إنشاؤها لكل تطبيق وجهاز ، مما يمنع المعلنين من تتبع المستخدمين عبر التطبيقات.
وقال ساتون إن شركة آبل "خاضت بالفعل معركة لمنع المطورين من تتبع الأجهزة". "جوجل لم تفعل شيئا في هذا المجال."