Pag-aaral: Mga mobile phone apps tingnan ang pribadong data nang higit pa kaysa sa kinakailangan

Mga mobile phone apps ay ina-access ang pribadong data ng mga gumagamit at pagpapadala nito sa mga remote server kaysa sa lilitaw na mahigpit na kinakailangan, habang ang mga gumagamit ay hindi sapat na mga tool upang subaybayan o kontrolin ang naturang pag-access, ayon sa isang bagong pag-aaral ng dalawang mga ahensya ng gobyerno ng Pransya. Ang mga iPhone ay may kagamitan sa pag-monitor at pagtatasa ng mga tool na binuo ng French National Institute para sa Pananaliksik sa Computer Science and Control (INRIA). Ang layunin ay upang mapabuti ang pangkalahatang pag-unawa sa paraan ng paggamit ng apps ng pribadong data, hindi upang ituro ang daliri sa mga partikular na developer, sinabi ng Pangulo ng CNIL na si Isabelle Falque-Pierrotin Martes sa isang kumperensya upang ipakita ang pananaliksik.

Sa halip na mag-aral ng apps sa laboratoryo Ang mga kondisyon, ang CNIL ay kumuha ng real-world na diskarte, na humihingi ng anim na boluntaryo na ilagay ang kanilang sariling mga SIM card sa mga telepono at gamitin ang mga ito bilang kanilang sarili sa pagitan ng kalagitnaan ng Oktubre at kalagitnaan ng Enero. Isang boluntaryo ang nag-download ng halos 100 apps, at isa lamang ang nagdagdag ng limang sa mga na-install ng Apple.

[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet.]

Isa sa 12 ng mga app na-access ang address book, at halos isa sa tatlong na-access na impormasyon sa lokasyon. Sa karaniwan, ang mga gumagamit ay nasubaybayan ang kanilang lokasyon nang 76 beses sa isang araw sa panahon ng pag-aaral. Ang Foursquare at ang sariling Maps app ng Apple ay hiniling ang impormasyon ng lokasyon nang madalas - marahil na nauunawaan na ibinigay sa kanilang layunin-na may AroundMe at Camera app ng Apple na malapit sa likod.

Ang pangalan ng iPhone ay na-access ng isang app sa anim, isang bagay na natagpuan ng mga mananaliksik na hindi maipaliliwanag dahil nagsisilbi itong halos walang layunin at malayo mula sa isang natatanging tagatukoy, bagaman dahil madalas itong naglalaman ng ibinigay na pangalan ng gumagamit, maaari itong ituring na personal na makikilalang impormasyon.

Ang app ng Facebook ay mukhang maliit na pagtatangkang ma-access ang gayong pribadong impormasyon-ngunit pagkatapos, sinabi ng mga mananaliksik

Ang mga mananaliksik sa dalawang mga ahensya ng gobyerno ng Pransya, CNIL at INRIA, ay nais na magbigay ng mga gumagamit ng karagdagang kontrol ng Apple sa kung paano ma-access ng apps ang kanilang pribadong impormasyon, na nagpapahintulot sa kanila na mag- repasuhin at palitan ang access na iyon sa anumang oras.

Ang data na na-access sa pamamagitan ng malayo ang pinaka sa pag-aaral ay ang Universal Device Identifier ng iPhone (UDID), isang serial number na permanenteng tly na nauugnay sa isang partikular na telepono. Halos kalahati ng mga app na na-access ito, at isa sa tatlo sa mga nagpadala nito sa Internet na hindi naka-encrypt. Ang app ng isang pang-araw-araw na pahayagan ay nakakuha ng UDID 1,989 ulit sa panahon ng pag-aaral, na ipinadala ito nang 614 beses sa publisher nito.

CNIL tagapagsalita Stéphane Petitcolas nagpakita kung paano maaaring makuha ang mga gumagamit ng kontrol sa isang bagong tool ng setting upang limitahan kung paano ma-access ng apps ang lahat ng mga uri ng pribadong impormasyon, tulad ng Apple ay nagpapahintulot sa mga user na kontrolin ang access sa impormasyon ng lokasyon ngayon. Hindi pa nakikita ng Apple ang tool na ito, ngunit nais isaalang-alang ng INRIA ang pagbabahagi ng code kung interesado ang kumpanya, sabi ni Claude Castelluccia, direktor ng koponan ng pananaliksik.

Ang mga mamimili ng iPhone apps ay may kaunting ideya kung anong impormasyon o mga pag-andar ang maa-access ng kanilang apps. Ipinapakita ng Play Store ng Google kung anong impormasyon at pag-andar ang maa-access ng isang app-ngunit ang pagpipilian ay lahat o wala. Ang mga mas lumang bersyon ng BlackBerry OS ay nagbigay sa mga gumagamit ng higit na kalayaan upang piliin kung aling mga API (application programming interface) ay papayagan nila ang isang app na ma-access, sa panganib ng paglabag sa app, ngunit sa BlackBerry 10 na may butil na butil na kontrol ay magagamit lamang para sa katutubong apps: Ang mga Android app ang pinili ay muling dalhin ito o iwanan ito.

Ang Apple ay kumukuha ng mga hakbang sa sanggol patungo sa pagbibigay sa mga gumagamit ng ganitong uri ng kontrol. Sa iOS 5 maaari nilang mapigilan ang mga indibidwal na apps mula sa pag-access sa kanilang lokasyon, at sa iOS 6 magkakaroon sila ng isa pang pagpipilian habang hinahanap ng Apple upang i-off ang mga developer gamit ang UDID upang makilala ang mga user at i-target ang advertising.

Sa halip, gusto ng Apple na gumawa ng mga developer na gamitin ang Advertising Identifier na ipinakilala sa iOS 6. Ito ay hindi permanente na nauugnay sa isang telepono o tao, at ang mga gumagamit na hindi nais na subaybayan ay maaaring baguhin ito tuwing nais nila - hangga't iniisip nila tumingin sa Mga Setting / Pangkalahatan / Tungkol sa / Pag-advertise sa halip na mas halata Mga Setting / Privacy.

Ang opsyon na iyon ay hindi magagamit sa mga kalahok sa pag-aaral CNIL-INRIA, kung saan para sa mga teknikal na kadahilanan ay isinasagawa gamit ang iOS 5. Ang susunod na yugto ng pananaliksik ay gagamit ng iOS 6, na ngayon ay na-update ng INRIA ang monitoring app nito upang magamit ang bagong bersyon.

Upang masubaybayan kung paano na-access ng mga app ang pribadong impormasyon, kailangang i-jailbreak ang INRIA sa mga iPhone at i-install ang isang espesyal na app upang maharang ang Apple Ang mga API sa pamamagitan ng kung aling mga app ay humiling ng access sa pribadong impormasyon, sinabi ng INRIA researcher na si Vincent Roca. Pinili ng mga mananaliksik na magtrabaho sa mga iPhone dahil mayroon na silang karanasan para sa pagbuo ng iOS. Ang mga ito ngayon ay bumubuo ng isang app na may mga kaparehong kakayahan para sa mga teleponong Android, na kailangan nilang mag-ugat upang ma-install ito.

Pagsubaybay ng INRIA app na naitala ang bawat intercepted na kahilingan sa isang database sa telepono, kasama ang hiniling na pribadong impormasyon, upang maaaring makilala ito sa palabas na trapiko sa network. Ang iOS 5 app ay maaari lamang masubaybayan ang hindi naka-encrypt na trapiko sa network, ngunit ang bersyon para sa iOS 6 ay maaari na ngayong mag-hook sa mga API ng network bago ang naka-encrypt na trapiko, sinabi ni Roca.

Ipinapasa din ng app ang mga kahilingan ng intercepted sa isang central server para sa pag-aaral - ang mga nauugnay na pribadong impormasyon, pati na ang mga eksperimentong paksa ay may karapatan sa kanilang privacy, ang mga mananaliksik ay nagbigay-diin.

INRIA at CNIL ay nagsisimula lamang na pag-aralan ang data na kanilang nakolekta mula sa anim na mga iPhone: May 9 gigabytes nito, na sumasakop sa 7 milyong privacy mga kaganapan sa loob ng tatlong buwan na panahon.

Ang isang bagay na ipinakita na ng pag-aaral ay ang ilang access sa pribadong data ay hindi sinasadya. Isang app na kilalanin ang pinakamalapit na Paris swimming pool (ang lungsod ay may 38 sa loob ng isang radius ng mga 5 kilometro) na na-access ang impormasyon ng lokasyon na higit pa kaysa sa kinakailangan upang maisagawa ang function nito, tila dahil sa isang error sa programming, sinabi ng CNIL's Petitcolas