您的税务应用程序如何处理您的数据？

某些适用于Android和iOS的税务和相关财务应用程序可能会不必要地收集和共享用户数据。 您的移动设备上是否有这些应用程序？

Appthority总裁兼创始人Domingo Guerra告诉《安全观察》，Appthority分析了几种适用于Android和iOS设备的税务财务管理应用程序，并发现了一些危险行为，包括跟踪用户位置，访问联系人列表以及与第三方共享用户数据。

Appthority发现，许多应用程序都将用户数据（例如位置和联系信息）从地址簿中拉到第三方广告网络，以进行传输。 与广告网络的大多数交流碰巧都是明文形式。 虽然H&R Block应用程序可以访问用户的位置很有意义，但是由于该应用程序可以让用户找到最近的店面，因此“尚不清楚为什么”其余应用程序需要该信息。

Guerra说：“其余的只是与广告网络共享该位置。”

应用程序列表包括“知名税收应用程序和一些较小的新移民”，例如H&R Block TaxPrep 1040EZ和完整的H&R Block应用程序，Intuit（TurboTax背后的公司）的TaxCaster和My Tax Refund，来自名为开发人员的开发人员的2012年所得税计算器Guerra说，SydneyITGuy和RazRon的Federal Tax 1040EZ。 Appthority使用自己的自动化移动应用程序风险管理服务进行了分析。

弱到无加密

Appthority发现，这些应用程序通常加密程度较弱，因此选择选择性地保护某些数据流量，而不是对所有流量进行加密。 一些应用程序（Guerra未指定哪个应用程序）使用可预测的加密密码，而不是利用加密随机化器。 “无名”应用程序（例如RazRon的应用程序）根本没有使用加密。

其中一款知名应用程序在可执行文件的调试信息中包含了源代码的文件路径。 Appthority说，文件路径通常包括用户名和其他可用于瞄准应用开发商或公司的信息。 同样，Guerra并未通过名称识别该应用程序。

瓜拉说，虽然“泄漏这些信息通常不是主要风险，”“但应尽可能避免。”

公开数据

Appthority发现，一些应用程序提供了一项功能，用户可以为W2拍照，然后将图像保存在设备的“相机胶卷”中。 对于自动上传或与iCloud或Google+之类的云服务同步的用户而言，这可能是一个严重的问题，因为该图像被保存到不安全的位置并可能被暴露。

iOS和Android版本的H&R Block 1040EZ应用程序都使用了广告网络，例如AdMob，JumpTab和TapJoyAds，但完整版的H&R Block应用程序不显示广告，Appthority指出。

iOS与Android

Guerra说，同一应用程序的iOS和Android版本之间，危险行为的类型并没有很多差异。 大多数差异归结为操作系统如何处理权限。 Android要求该应用程序显示所有权限，然后用户才能以全部或全部的方式安装和运行该应用程序。 相反，iOS会在情况出现时请求许可。 例如，在用户尝试使用商店定位器功能之前，iOS应用将无法访问用户的位置。

根据最新规则，iOS 6禁止应用程序开发人员根据用户的设备ID和UDID或EMEI编号跟踪用户。 这种做法在Android应用中仍然很常见。 Guerra说，H&R Block 1040EZ应用程序的iOS版本不会跟踪用户，但是同一应用程序的Android版本会通过收集移动设备ID，移动平台构建和版本信息以及移动设备订户ID来跟踪用户。

Android上的完整H&R Block应用程序会请求，并且能够访问设备上安装的所有其他应用程序的列表。 该应用的iOS版本无法访问此信息，因为操作系统不允许这样做。

有风险还是没有风险？

此时，没有什么特别的风险，这些应用程序不会以明文形式传输密码和财务记录。 但是，事实仍然是应用程序不必要地共享用户数据。 除一个应用程序外，其他应用程序均未提供商店定位器功能。 那么，为什么这些其他应用程序需要访问用户的位置？ 为什么这些应用程序需要访问用户的联系人？ 这似乎对准备税收没有必要。

Geurra说，Appthority查看了一些旧的应用程序以“证明这一点”。 这些应用程序中有许多具有不同的到期日期（例如2012年税收应用程序），在该应用程序中，用户应在使用完毕后不再使用它。

这些“一次性应用程序”很少从市场上撤出，用户应该意识到这些应用程序可以访问用户设备上的数据。