Undersøgelse: Mobiltelefonapplikationer viser private data mere end nødvendigt

Mobilapps adgang til brugernes private data og overfører det til fjerntjenere langt mere end det synes strengt nødvendigt, mens brugerne har utilstrækkelige værktøjer til at overvåge eller kontrollere sådan adgang, ifølge en ny undersøgelse fra to franske regeringsorganer.

Den franske nationale kommission for databehandling og frihed (CNIL) studerede opførelsen af ​​189 apps om seks iPhones udstyret med overvågningssoftware og analyseværktøjer udviklet af det franske nationale institut for forskning inden for computervidenskab og kontrol (INRIA). Målet var at forbedre den generelle forståelse af, hvordan apps bruger private data, ikke at pege på bestemte udviklere, siger CNIL-præsident Isabelle Falque-Pierrotin på tirsdag på en pressekonference for at præsentere forskningen.

I stedet for at studere apps i laboratoriet betingelser, CNIL tog en real-world tilgang, bede seks frivillige til at sætte deres egne SIM-kort i telefonerne og bruge dem som de ville deres egne mellem midten af ​​oktober og midten af ​​januar. En frivillig downloadede næsten 100 apps, og en tilføjede kun fem til dem, der blev installeret af Apple.

[Yderligere læsning: De bedste Android-telefoner til hvert budget.]

En ud af 12 apps har fået adgang til adressebogen og næsten en ud af tre adgangsoplysninger. I gennemsnit havde brugerne deres placering sporet 76 gange om dagen under undersøgelsen. Foursquare og Apples egen Maps app anmodede stedet om de mest ofte - måske forståeligt i betragtning af deres formål - med AroundMe og Apples kamera app tæt på.

iPhone'ens navn blev åbnet af en app i seks, noget forskerne fandt uforklarlige, fordi det tjener næsten intet formål og er langt fra en unik identifikator, selv om det ofte indeholder brugerens navn, kan det betragtes som personligt identificerbare oplysninger.

Facebook's app viste tilsyneladende lidt forsøg på at få adgang til sådanne private oplysninger - men så sagde forskerne

Forskere fra to franske regeringsorganer, CNIL og INRIA vil gerne give brugerne af Apples iOS ekstra kontrol over, hvordan apps har adgang til deres private oplysninger, så de kan gennemgå og ændre adgangen til enhver tid.

De data, der blev opnået langt mest i undersøgelsen, var iPhone's Universal Device Identifier (UDID), et serienummer permanent tly forbundet med en bestemt telefon. Næsten halvdelen af ​​apps har fået adgang til det, og en ud af de tre sendte dem over internettet ukrypteret. App'en til en daglig avis benyttede UDID 1.989 gange under undersøgelsen og sendte den 614 gange til sin udgiver.

CNIL-talsmand Stéphane Petitcolas viste, hvordan brugere kan genvinde kontrol med et nyt indstillingsværktøj for at begrænse, hvordan apps får adgang til alle former for privat information, meget som Apple giver brugerne mulighed for at kontrollere adgangen til placeringsoplysninger i dag. Apple har ikke set værktøjet endnu, men INRIA ville overveje at dele koden, hvis virksomheden var interesseret, sagde Claude Castelluccia, direktør for forskerholdet.

Købere af iPhone apps har en lille ide om, hvilke oplysninger eller funktioner deres apps vil få adgang til. Googles Play Butik viser, hvilke oplysninger og funktioner en app får adgang til, men valget er alt eller ingenting. Ældre versioner af BlackBerry OS gav brugerne større frihed til at vælge hvilke API'er (applikationsprogrammeringsgrænseflader) de ville tillade en app at få adgang til, med risiko for at bryde appen, men i BlackBerry 10 er denne granulære kontrol kun tilgængelig for native apps: For Android apps valget er igen at tage det eller forlade det.

Apple tager baby skridt mod at give brugerne den slags kontrol. IOS 5 kan de forhindre, at enkelte apps får adgang til deres placering, og i iOS 6 vil de have en anden mulighed, da Apple søger at afvige udviklere uden at bruge UDID til at identificere brugere og målannoncering.

I stedet ønsker Apple, at udviklere bruger annonceidentifikatoren det introduceret i iOS 6. Dette er ikke permanent forbundet med en telefon eller en person, og brugere, der ikke vil spores, kan ændre det, når de ønsker det - så længe de tænker Se i Indstillinger / Generelt / Om / Annoncering snarere end de mere oplagte indstillinger / Fortrolighed.

Denne mulighed var ikke tilgængelig for deltagerne i CNIL-INRIA-undersøgelsen, men af ​​tekniske årsager blev der udført iOS 5. Den Næste fase af forskningen vil bruge iOS 6, nu hvor INRIA har opdateret sin overvågningsapp til at bruge den nye version.

For at overvåge, hvordan appsne har fået adgang til privat information, måtte INRIA jailbreak iPhones og installere en speciel app for at opfange Apple API'er, hvorigennem apps anmoder om adgang til privat information, sagde INRIA-forsker Vincent Roca. Forskerne valgte at arbejde på iPhones, fordi de allerede havde erfaring med at udvikle sig til iOS. De udvikler nu en app med lignende funktioner til Android-telefoner, som de skal rod for at installere den.

INRIAs overvågningsapp registrerede hver aflytningsanmodning i en database på telefonen sammen med de ønskede private oplysninger, så at det kunne identificere det i udgående netværkstrafik. IOS 5-appen kunne kun overvåge ukrypteret netværkstrafik, men versionen til iOS 6 kan nu koble netværks-API'erne, før trafikken er krypteret, sagde Roca.

App'en videresendte også aflyste forespørgsler til en central server til undersøgelsen - uden De relaterede private oplysninger, som lige eksperimentelle emner har ret til privatlivets fred, understregede forskerne.

INRIA og CNIL er kun lige begyndt at analysere de data, de indsamlede fra de seks iPhones: Der er 9 gigabyte af det og dækker 7 millioner privatliv begivenheder i løbet af tre måneder.

En ting undersøgelsen allerede har afsløret er, at adgang til private data er tilfældig. En app til at identificere den nærmeste paris-swimmingpool (byen har 38 inden for en radius på ca. 5 km), der har adgang til placeringsoplysninger langt mere end nødvendigt for at udføre sin funktion, tilsyneladende på grund af en programmeringsfejl, sagde CNILs Petitcolas.