ما هو التطبيق الضريبي الخاص بك مع البيانات الخاصة بك؟

قد تقوم بعض التطبيقات الضريبية والمالية ذات الصلة لنظامي التشغيل Android و iOS بجمع وتبادل بيانات المستخدم دون داع. هل لديك أي من هذه التطبيقات على جهازك المحمول؟

أخبر Domingo Guerra ، رئيس ومؤسس Appthority ، Security Appatchor ، Appthority بتحليل العديد من تطبيقات الإدارة المالية الضريبية لأجهزة Android و iOS وحدد عددًا قليلًا من السلوكيات المحفوفة بالمخاطر ، بما في ذلك تتبع موقع المستخدم والوصول إلى قائمة جهات الاتصال ومشاركة بيانات المستخدم مع أطراف ثالثة.

عثر Appthority على الكثير من التطبيقات التي تنقل بيانات المستخدم مثل الموقع ومعلومات جهات الاتصال التي يتم سحبها من دفتر العناوين إلى شبكات إعلانات الجهات الخارجية. حدث معظم التواصل مع الشبكات الإعلانية في نص واضح. على الرغم من أنه من المنطقي أن يتمتع تطبيق H&R Block بالوصول إلى موقع المستخدم ، حيث أن التطبيق يتيح للمستخدمين العثور على أقرب واجهة ، إلا أنه "ليس من الواضح تمامًا لماذا" تحتاج التطبيقات المتبقية إلى هذه المعلومات.

وقال غيرا "الباقون يشاركون هذا الموقع مع شبكات الإعلان فقط".

تضمنت قائمة التطبيقات "تطبيقات ضريبة الاسم الكبير وبعض الوافدين الجدد الأصغر" مثل H&R Block TaxPrep 1040EZ وتطبيقات H&R Block الكاملة و TaxCaster و My Tax Recovery من Intuit (الشركة التي وراء TurboTax) و Income Tax Calculator 2012 من مطور اسمه SydneyITGuy ، والضرائب الفيدرالية 1040EZ من RazRon ، قال غيرا. أجرت Appthority تحليلها باستخدام خدمة إدارة مخاطر تطبيقات الهاتف المحمول الآلية الخاصة بها.

ضعيف بدون تشفير

وجدت التطبيقات عمومًا تشفيرًا ضعيفًا واختارت حماية بعض حركة مرور البيانات بشكل انتقائي ، بدلاً من تشفير كل حركة المرور ، كما وجدت Appthority. بعض التطبيقات - لم يحدد Guerra أي منها - استخدم أصفار تشفير يمكن التنبؤ بها بدلاً من الاستفادة من أدوات التشفير العشوائية للتشفير. لم تستخدم تطبيقات "بدون اسم" ، مثل تلك الموجودة في RazRon ، التشفير على الإطلاق.

تضمين أحد تطبيقات الاسم الكبير مسارات الملفات إلى التعليمات البرمجية المصدر في معلومات التصحيح الخاصة به داخل الملف القابل للتنفيذ. غالبًا ما تتضمن Filepaths أسماء المستخدمين والمعلومات الأخرى التي يمكن استخدامها لاستهداف مطور التطبيق أو الشركة ، على حد قول Appthority. مرة أخرى ، لم يحدد Guerra التطبيق بالاسم.

وقال غيرا إنه "على الرغم من أنه ليس من الخطر بشكل عام تسريب هذه المعلومات ، إلا أنه يجب تجنبها إن أمكن".

تعريض البيانات

وجدت بعض التطبيقات ميزة حيث يمكن للمستخدم التقاط صورة من W2 ، ثم تم حفظ الصورة في "لفة الكاميرا" على الجهاز ، وجدت Appthority. قد تكون هذه مشكلة خطيرة للمستخدمين الذين يقومون تلقائيًا بالتحميل أو المزامنة مع الخدمات السحابية مثل iCloud أو Google+ حيث يتم حفظ هذه الصورة في المواقع غير الآمنة والتي من المحتمل أن تتعرض لها.

لاحظت Appthority أن كلا من iOS و Android من تطبيق H&R Block 1040EZ يستخدمان شبكات إعلانية مثل AdMob و JumpTab و TapJoyAds ، لكن النسخة الكاملة من تطبيق H&R Block لا تعرض الإعلانات.

نظام التشغيل iOS مقابل Android

لم يكن هناك الكثير من الاختلافات في أنواع السلوكيات المحفوفة بالمخاطر بين إصدارات iOS و Android من نفس التطبيق ، على حد قول Guerra. معظم الاختلافات تتلخص في كيفية معالجة نظام التشغيل للأذونات. يتطلب Android من التطبيق عرض جميع الأذونات قبل أن يتمكن المستخدم من تثبيت التطبيق وتشغيله بطريقة لا تُشبه شيئًا أو لا شيء. في المقابل ، يطلب نظام iOS الحصول على إذن عند ظهور الحالة. على سبيل المثال ، لن يتمكن تطبيق iOS من الوصول إلى موقع المستخدم حتى يحاول المستخدم استخدام ميزة locator الخاصة بالتخزين.

وفقًا لأحدث القواعد ، يمنع iOS 6 مطوري التطبيقات من تتبع المستخدمين استنادًا إلى أرقام هواتفهم وأرقام UDID أو EMEI. لا تزال هذه الممارسة شائعة بين تطبيقات Android. وقال غيرا إن إصدار نظام التشغيل iOS من تطبيق H&R Block 1040EZ لا يتتبع المستخدم ، ولكن إصدار Android من نفس التطبيق يقوم بتجميع معرف الجهاز المحمول ومعلومات إصدار النظام الأساسي للجوال ومعلومات المشتركين في الجهاز المحمول.

تطبيق H&R Block الكامل على طلبات Android ويمكنه الوصول إلى قائمة بجميع التطبيقات الأخرى المثبتة على الجهاز. لا يتمتع إصدار iOS من التطبيق بإمكانية الوصول إلى هذه المعلومات لأن نظام التشغيل لا يسمح بذلك.

محفوفة بالمخاطر أم لا؟

لا يوجد شيء محفوف بالمخاطر على وجه التحديد في هذه المرحلة ، فهذه التطبيقات لا تنقل كلمات المرور والسجلات المالية بنص واضح. ومع ذلك ، تظل الحقيقة هي أن التطبيقات تقوم بمشاركة بيانات المستخدم دون داع. باستثناء تطبيق واحد ، لم تقدم أي من التطبيقات الأخرى ميزة لتحديد موقع المتجر. لماذا ، إذن ، هذه التطبيقات الأخرى تحتاج إلى الوصول إلى موقع المستخدم؟ لماذا تحتاج هذه التطبيقات إلى الوصول إلى جهات اتصال المستخدم؟ لا يبدو ذلك ضروريًا لإعداد الضرائب.

وقال جورا إن Appthority نظرت إلى بعض التطبيقات القديمة "لإثبات وجود نقطة". يحتوي العديد من هذه التطبيقات على تاريخ انتهاء صلاحية من الأنواع - مثل تطبيقات الضرائب لعام 2012 - حيث من المتوقع ألا يستخدمها المستخدمون بعد الانتهاء من استخدامها.

نادراً ما يتم سحب هذه "التطبيقات التي يمكن التخلص منها" من السوق ، ويجب أن يدرك المستخدمون أن هذه التطبيقات يمكنها الوصول إلى البيانات الموجودة على أجهزة المستخدم.