7 10 okostelefonos alkalmazásból ossza meg adatait harmadik fél szolgáltatásaival
Az okostelefonról származó fényképek akkor is földrajzi címkével vannak ellátva, ha a felhasználó nincs tisztában vele. Az okostelefon -felhasználók módosíthatják adatvédelmi beállításaikat, hogy korlátozzák, ki láthatja a földrajzi címkével ellátott helyeket. (Fotó: US Army Graphic)

Mobiltelefonjaink képesek sok mindent elárulunk magunkról: ahol élünk és dolgozunk; kik a családunk, barátaink és ismerőseink; hogyan (sőt mit) kommunikálunk velük; és személyes szokásaink. A rajtuk tárolt összes információ mellett nem meglepő, hogy a mobileszközök felhasználói lépéseket tesznek magánéletük védelme érdekében, például PIN -kódok vagy jelszavak használatával hogy feloldják a telefonjukat.

Az általunk és kollégáink által végzett kutatás azonosít és feltár egy jelentős veszélyt, amelyet a legtöbb ember elmulaszt: Több mint 70 százalék of Az okostelefon-alkalmazások személyes adatokat jelentenek harmadik fél nyomkövető cégeinek mint a Google Analytics, a Facebook Graph API vagy a Crashlytics.

Amikor az emberek új Android- vagy iOS -alkalmazást telepítenek, az engedélyt kér a felhasználótól, mielőtt hozzáférne a személyes adatokhoz. Általánosságban elmondható, hogy ez pozitív. Ezen alkalmazások által gyűjtött információk egy része pedig szükséges ahhoz, hogy megfelelően működjenek: Egy térképalkalmazás közel sem lenne olyan hasznos, ha nem tudná használni a GPS -adatokat a helymeghatározáshoz.

De ha egy alkalmazásnak engedélye van ezen információk összegyűjtésére, akkor megoszthatja az adatait bárkivel, akit az alkalmazás fejlesztője akar-lehetővé téve, hogy harmadik féltől származó vállalatok nyomon kövessék, hol tartózkodik, milyen gyorsan halad és mit csinál.

A kódtárak segítsége és veszélye

Egy alkalmazás nem csak adatokat gyűjt, amelyeket a telefonon használ. Az alkalmazások leképezése például elküldi a tartózkodási helyét az alkalmazás fejlesztője által üzemeltetett szervernek, hogy kiszámítsa az útvonalat attól a helytől, ahová a kívánt célállomást választja.

belső feliratkozási grafika

Az alkalmazás máshonnan is tud adatokat küldeni. A weboldalakhoz hasonlóan sok mobilalkalmazást különböző fejlesztők és vállalatok által előre kódolt különböző funkciók kombinációjával írnak le, az úgynevezett külső könyvtárakban. Ezek a könyvtárak segítik a fejlesztőket követni a felhasználói elköteleződést, kapcsolódni a közösségi médiához és a pénzt kereshet hirdetések megjelenítésével és egyéb funkciók, anélkül, hogy a semmiből kellene írni őket.

Azonban a legtöbb könyvtár értékes segítsége mellett érzékeny adatokat is gyűjt, és elküldi azokat online szervereire - vagy egy másik vállalatnak. A sikeres könyvtári szerzők képesek lehetnek a felhasználók részletes digitális profiljainak kidolgozására. Például egy személy engedélyt adhat az egyik alkalmazásnak, hogy megtudja a tartózkodási helyét, és egy másiknak hozzáférést a névjegyeihez. Ezek kezdetben külön engedélyek, egy -egy alkalmazáshoz. De ha mindkét alkalmazás ugyanazt a harmadik féltől származó könyvtárat használja, és különböző információkat oszt meg, a könyvtár fejlesztője összekapcsolhatja a darabokat.

A felhasználók soha nem tudhatják, mert az alkalmazásoknak nem kell megmondaniuk a felhasználóknak, hogy milyen szoftverkönyvtárat használnak. És csak nagyon kevés alkalmazás hozza nyilvánosságra a felhasználók adatvédelmi politikáját; ha igen, akkor általában a hosszú jogi dokumentumokban egy rendes személy szerepel nem fog olvasni, még kevésbé érteni.

Lumen fejlesztése

Kutatásunk arra törekszik, hogy feltárja, mennyi adatot gyűjtenek össze potenciálisan a felhasználók tudta nélkül, és hogy a felhasználók jobban ellenőrizhessék adataikat. Hogy képet kapjunk arról, hogy mit adatokat gyűjtenek és továbbítanak az emberek okostelefonjairól, kifejlesztettünk egy ingyenes Android -alkalmazást, az úgynevezett Lumen adatvédelmi monitor. Elemzi a forgalmazó alkalmazások által küldött adatokat, hogy jelentést tegyen arról, hogy mely alkalmazások és online szolgáltatások gyűjtik aktívan a személyes adatokat.

Mivel a Lumen az átláthatóságról szól, a telefon felhasználói valós időben láthatják a telepített alkalmazások által gyűjtött információkat és azt, hogy kivel osztják meg ezeket az adatokat. Megpróbáljuk könnyen érthető módon megjeleníteni az alkalmazások rejtett viselkedésének részleteit. A kutatásról is szó van, ezért megkérdezzük a felhasználókat, hogy megengedik-e számunkra, hogy adatokat gyűjtsünk arról, hogy a Lumen mit figyel az alkalmazásaikban-de ez nem tartalmaz személyes vagy adatvédelmi szempontból érzékeny adatokat. Ez az egyedülálló hozzáférés az adatokhoz lehetővé teszi számunkra, hogy tanulmányozzuk, hogyan gyűjtik a mobilalkalmazások a felhasználók személyes adatait, és kivel osztják meg az adatokat soha nem látott mértékben.

A Lumen különösen figyelemmel kíséri, hogy mely alkalmazások futnak a felhasználók készülékein, küldenek-e adatvédelmi szempontból érzékeny adatokat a telefonról, milyen internetes webhelyekre küldik az adatokat, az általuk használt hálózati protokoll és milyen típusú személyes adatok minden webhelyre elküldi. A Lumen helyben elemzi az alkalmazások forgalmát az eszközön, és anonimizálja ezeket az adatokat, mielőtt elküldené őket nekünk tanulmányozásra: Ha a Google Térkép regisztrálja a felhasználó GPS -helyét, és elküldi azt a konkrét címet a maps.google.com címre, a Lumen közli velünk: „A Google Térkép GPS -hely, és elküldte a maps.google.com címre ” - nem ott, ahol az adott személy valójában van.

A nyomkövetők mindenhol megtalálhatók

Több mint 1,600 ember, akik 2015 októbere óta használják a Lumen -t, lehetővé tették számunkra, hogy több mint 5,000 alkalmazást elemezzünk. 598 internetes oldalt fedeztünk fel, amelyek valószínűleg követik a felhasználókat hirdetési célokra, beleértve a közösségi média szolgáltatásokat, például a Facebookot, a nagy internetes cégeket, mint a Google és a Yahoo, valamint az online marketing cégeket az internetszolgáltatók égisze alatt, mint például a Verizon Wireless.

Megtaláltuk az általunk vizsgált alkalmazások több mint 70 százaléka legalább egy nyomkövetőhöz kapcsolódik, és 15 százalékuk öt vagy több nyomkövetőhöz. Minden negyedik nyomkövető legalább egy egyedi eszközazonosítót gyűjtött be, például a telefonszámot vagy annak azonosítóját eszközspecifikus egyedi 15 jegyű IMEI-szám. Az egyedi azonosítók elengedhetetlenek az online nyomon követési szolgáltatásokhoz, mivel ezek a különféle alkalmazások által biztosított különböző típusú személyes adatokat egyetlen személyhez vagy eszközhöz kapcsolhatják. A legtöbb felhasználó, még a magánélethez értő felhasználók sem tudnak ezekről a rejtett gyakorlatokról.

Több, mint mobil probléma

A felhasználók mobileszközökön történő nyomon követése csak egy nagyobb probléma része. Az általunk azonosított alkalmazáskövetők több mint fele webhelyeken keresztül követi a felhasználókat. Ennek a „többeszközös” követésnek nevezett technikának köszönhetően ezek a szolgáltatások sokkal teljesebb profilt készíthetnek online személyiségéről.

Az egyes követési oldalak pedig nem feltétlenül függetlenek másoktól. Némelyikük ugyanazon vállalati egység tulajdonában van, másokat pedig elnyelhetnek a jövőbeni egyesülések. Például az Alphabet, a Google anyavállalata, az általunk vizsgált követési tartományok közül többnek a tulajdonosa, beleértve a Google Analytics -t, DoubleClick vagy az AdMob, és rajtuk keresztül gyűjt adatokat az általunk vizsgált alkalmazások több mint 48 százalékáról.

A felhasználók online identitását nem védik a saját országuk törvényei. Azt találtuk, hogy az adatokat országhatárokon át szállítják, gyakran olyan országokban, amelyek megkérdőjelezhető adatvédelmi törvényekkel rendelkeznek. A nyomkövető webhelyekkel való kapcsolatok több mint 60 százaléka az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Szingapúrban, Kínában és Dél -Koreában - hat országban, amelyek telepítették - tömeges megfigyelési technológiák. Ezeken a helyeken az állami szervek potenciálisan hozzáférhetnek ezekhez az adatokhoz, még akkor is, ha a felhasználók bent vannak országokban, ahol szigorúbb adatvédelmi törvények vannak érvényben mint például Németország, Svájc vagy Spanyolország.

Egy eszköz MAC -címének összekapcsolása egy fizikai (ICSI -hez tartozó) címmel a Wigle segítségével.
Egy eszköz MAC -címének összekapcsolása egy fizikai (ICSI -hez tartozó) címmel a Wigle segítségével. ICSI, CC BY-ND

Még ennél is zavaróbb, hogy nyomkövetőket figyeltünk meg a gyermekeknek szánt alkalmazásokban. Laboratóriumunkban 111 gyerekalkalmazás tesztelésével azt észleltük, hogy közülük 11 kiszivárogtatott egy egyedi azonosítót, a Mac cím, a Wi-Fi útválasztóról, amelyhez csatlakozott. Ez probléma, mert könnyen megoldható keresés az interneten meghatározott MAC -címekhez társított fizikai helyekhez. A gyermekekről szóló személyes adatok gyűjtése, beleértve a tartózkodási helyüket, fiókjaikat és más egyedi azonosítóikat, potenciálisan sérti a Szövetségi Kereskedelmi Bizottságot a gyermekek magánéletét védő szabályok.

Csak egy kis pillantás

Bár adataink a legtöbb legnépszerűbb Android -alkalmazást tartalmazzák, a felhasználók és alkalmazások egy kis mintája, ezért valószínűleg az összes lehetséges nyomkövető egy kis halmaza. Eredményeink pusztán a felszínének karcolása lehet, ami valószínűleg sokkal nagyobb probléma, amely a szabályozási joghatóságokon, eszközökön és platformokon átível.

Nehéz tudni, mit tehetnek a felhasználók ezzel kapcsolatban. Ha megakadályozza, hogy a bizalmas információk elhagyják a telefont, az ronthatja az alkalmazás teljesítményét vagy a felhasználói élményt: egy alkalmazás megtagadhatja a működését, ha nem tudja betölteni a hirdetéseket. Valójában a hirdetések blokkolása árt az alkalmazásfejlesztőknek azzal, hogy megtagadja tőlük a bevételi forrást az alkalmazásokkal kapcsolatos munkájuk támogatásához, amelyek általában ingyenesek a felhasználók számára.

Ha az emberek szívesebben fizetnének a fejlesztőknek az alkalmazásokért, az segíthet, bár nem teljes megoldás. Megállapítottuk, hogy bár a fizetős alkalmazások általában kevesebb nyomkövető webhelyet érintenek meg, mégis nyomon követik a felhasználókat, és kapcsolatba lépnek harmadik féltől származó nyomonkövetési szolgáltatásokkal.

A beszélgetésA kulcs az átláthatóság, az oktatás és az erős szabályozási keretek. A felhasználóknak tudniuk kell, hogy milyen információkat gyűjtenek róluk, kik és mire használják. Csak ezután dönthetünk társadalomként arról, hogy a magánélet védelme megfelelő -e, és hogyan hozhatjuk létre azokat. Eredményeink és sok más kutató eredményei segíthetnek az asztalok megfordításában és a nyomkövetők nyomon követésében.

A szerzőkről

Narseo Vallina-Rodriguez, tudományos adjunktus, IMDEA Networks Institute, Madrid, Spanyolország; Kutató, hálózatépítés és biztonság, Nemzetközi Számítástechnikai Intézet, University of California, Berkeley és Srikanth Sundaresan, a számítástechnika tudományos munkatársa, Princeton University

Ezt a cikket eredetileg közzétették A beszélgetés. Olvassa el a eredeti cikk.

Kapcsolódó könyvek:

at InnerSelf Market és Amazon