视频: ç«¥æ æ §(è師æ¨æ¨å¤©æçå°æå¯çä¿¡å æ±æé²äº¤äº å çºyoutubeæ¨å¤©æä¸ç´å³ä¸ä¸å») (十一月 2024)
许多移动应用程序都带有大量广告,可以连接社交媒体的功能,或两者兼而有之。 这些看起来像无害的附加组件,放置在应用程序中是为了为应用程序开发人员谋取利益。 但是,这些功能可能具有访问用户的PII或个人身份信息的能力。 加载项访问敏感信息的能力很危险,这不仅是因为其功能可以在用户批准应用程序的权限后收集敏感信息,而且还可能在用户不知情的情况下公开这些信息。
总部位于加利福尼亚州圣马特奥的技术安全初创公司Mojave Networks进行的一项研究使用其Threat Labs测试了1100万个URL,这些URL在其客户安装的2000多种应用中发送和接收数据,该研究主要针对企业用户。 然后,根据这些URL与以下三个库之一的关系将它们分类:广告网络,社交媒体API或分析API。 结果表明,下载的应用程序中有78%与三个组之一相关联,这使用户面临无法访问其个人信息的风险,甚至更糟的是,个人或业务数据丢失。
缺乏问责制
更令人震惊的是这些库的实现方式。 它们由开发人员利用,后者从第三方接收代码。 这些代码主要用于帮助收集广告收入,跟踪用户统计信息或与社交媒体集成。 该报告提到有数千种此类库可用,并且大多数情况下,这些第三方代码通常不收集PII。 但是,并非所有人都可以信任。 在大多数情况下,开发人员通常在执行代码时很少或根本不检查其中包含的内容,这使您决定盲目地信任开发人员的判断,并冒着机会让这些库在您不知情的情况下访问您的数据。
更糟糕的是,用户仅通过下载和安装应用程序就受制于库的特定策略,而从未看到策略的详细信息。 从业务的角度来看,这可能导致缺乏责任感,并使IT管理员难以确定哪个应用带来了安全风险。
平均而言,每个应用程序约有九个权限。 其中五个被认为是非常危险的,因为它们可以提供对本应保密的信息的访问。 例如,Airpush(该研究中的顶级广告库之一)收集以下数据:
- Android ID
- 设备品牌和型号
- 手机浏览器类型和版本
- IP地址
- 由Airpush生成的ID
- 手机上安装的移动应用程序列表。
- “有关设备的其他技术数据。”
如果您允许这样做,Airpush也可以收集:
- 精确的地理位置,包括国家和邮政编码。
- 设备ID,包括国际移动设备标识(IMEI)号,设备序列号和媒体访问控制(MAC)地址。
- 浏览器历史记录等。
用户可以选择退出某些数据收集,例如已安装的移动应用程序列表和浏览器历史记录。
如果您安装使用Airpush的应用程序,则它可能会在您不知情的情况下访问所有这些信息。 最糟糕的是,这种对私人信息的广泛访问是很典型的,在移动应用程序市场上没有什么新鲜事物。
用户预防
就允许和拒绝每个应用程序的权限而言,用户只能做很多事情,特别是如果他们想充分发挥应用程序的潜力。 幸运的是,有两个出色的应用程序可以处理这些潜在的违规行为。
如果Lookout在未经用户同意的情况下确定广告网络是在独立运作,则会将广告网络归类为广告软件。 此外,它还提供有关广告软件的信息,包括其标识,功能以及对用户的潜在危害。 viaProtect是另一个很棒的工具,它提供了一个可视化的图形,可以显示用户数据在网络和国家/地区的流向以及经过加密的数量。 这使用户可以做出明智的决定,即是否要删除某些信息过多的应用程序。
在数字时代,安全至关重要。 诸如Lookout和viaProtect之类的应用程序可以让用户知道其数据是否受到威胁,但是要阻止图书馆访问用户的PII仍然很困难。 目前,阅读精美的印刷品并做出明智的决定是抵制移动设备上不必要访问的最佳方法。
