视频: *NEW* iPhone Z (First LOOK & Unboxing) - Apple (十一月 2024)
从Apple的App Store和Google Play下载应用程序时,我们放弃了很多安全性和隐私权。 我们很少停下来仔细检查应用程序在设备和数据上的运行情况,而忘记了开发人员在构建应用程序时并未优先考虑用户隐私。
Zscaler安全研究副总裁Michael Sutton告诉《安全观察》:“我认为人们不会意识到我们不是这些免费应用程序的客户。广告商是。”
Sutton说,开发人员正在考虑广告商在构建这些应用程序时的需求,即有关用户的信息以及跟踪用户活动的能力。 因此,当涉及到应用程序权限时,没有什么可以阻止开发人员要求超出其需求的范围。 大多数人在接受所有许可以安装该应用程序之前不会阅读权限列表,并且通常人们不会抱怨该应用程序是否要求太多。 在某些情况下,开发人员会要求许可,无论他们实际上是否需要许可。
萨顿说,实际上,“他们没有拒绝的诱因,尤其是在房屋的Android方面。”
ZScaler研究发现
Zscaler ThreatLabz的研究人员分析了550个iOS应用程序和75, 000个Android应用程序,以了解这两个移动操作系统如何处理隐私和安全性。 在静态分析中,团队在代码中寻找需要调用特定级别功能的实际实例。 这样,他们可以验证该功能确实在使用其所请求的权限。
这些发现是非常深入和令人着迷的,例如,“游戏和娱乐”类别中超过60%的iOS应用要求获得电话功能和地理位置的许可。 Zscaler称此发现“令人不安”,并指出最近有报告称应用程序在监视用户活动。 对于生活方式应用程序,该数字更高,其中81%的请求功能。 总体而言,有34%的iOS应用请求访问地址簿的权限,83%要求访问电子邮件,46%的用户可以读取用户的日历。
“随着97%的应用使用至少一种功能(地址簿,电话,位置,电子邮件日历或UUID)进行跟踪,如上所述,我们的消费量甚至超过了消费量,” Zscaler写道。博客。
在Android方面,Zscaler发现有68%的请求SMS权限的应用要求能够发送SMS消息。 考虑到SMS欺诈和垃圾邮件的流行,欺骗用户向高级号码发送邮件,这是令人担心的事情。 具有SMS权限的另外28%的应用程序还要求能够读取SMS消息。 当您考虑通过SMS进行两因素身份验证或确认特定交易的通过SMS发送代码的移动银行站点和其他服务的数量时,这也是另一个需要关注的领域。 萨顿说:“授予应用程序是非常冒险的。”他指出,苹果甚至没有授予该应用程序。
好消息是,目前,只有不到10%的应用程序需要SMS权限。 但是还是。
在分析的Android应用程序中,Zscaler发现36%的用户请求位置信息,而46%的用户请求手机的状态许可,这允许应用程序访问SIM卡信息和手机的唯一IMEI标识符。
萨顿说:“这是我们愿意放弃以换取免费应用程序之间的微妙平衡。”
Android使用户面临更多风险
就萨顿而言,最大的问题是,Android无法让用户控制应用程序可以拥有的权限。 萨顿说:“我不喜欢Android的全有或全无模型。”
有点可悲,因为Android在向开发人员提供非常细粒度的控制方面实际上比iOS更进一步。 但是,该级别的控制不会继承到应用程序本身,因为如果用户不喜欢应用程序所要求的特定权限,则用户将无法安装该应用程序。 另一方面,Apple安装iOS应用程序,然后在需要特定功能时提示用户许可。
萨顿说:“这是苹果做得更好的一件事。” 他说,iOS模式下对权限的“高级方法”在保护消费者方面做得更好。
萨顿说,苹果还努力阻止开发人员跟踪设备。 最初允许开发人员查询设备的唯一UDID,广告商可以使用该UDID来建立配置文件并了解用户使用的是哪种应用程序。 尽管苹果已经禁止使用UDID,但Zscaler发现其分析中仍有38%的iOS应用仍然可以访问。 苹果还禁止开发人员跟踪MAC地址。 UUID是首选方法,因为它是每个应用程序和设备生成的唯一值,从而防止广告客户跟踪应用程序中的用户。
萨顿说,苹果公司已经“为防止开发人员追踪设备而进行了一场战斗。” “谷歌在这一领域没有做任何事情。”
