İNceleme: Cep telefonu uygulamaları, özel verileri gerektiğinden daha fazla gösterir

Cep telefonu uygulamaları kullanıcıların özel verilerine erişiyor ve uzak sunuculara iletiyor. İki Fransız devlet kurumunun yeni bir araştırmasına göre, kullanıcılar bu tür erişimi izlemek veya kontrol etmek için gerekli araçlara sahip olmalarına rağmen, kesinlikle gerekli göründüğünden, Fransız Ulusal Hesaplama ve Özgürlük Komisyonu (CNIL), 189 uygulamanın 6 Fransız Ulusal Bilgisayar Bilimi ve Kontrol Araştırma Enstitüsü (INRIA) tarafından geliştirilen izleme yazılımı ve analiz araçları ile donatılmış iPhone'lar. Hedef, uygulamaların özel geliştiricilerin parmağını göstermemek için özel verileri kullanma şeklini genel olarak kavramaktı. CNIL Başkanı Isabelle Falque-Pierrotin, Salı günü yaptığı bir konferansta, araştırmayı sunmak için bir basın toplantısı düzenlediklerini söyledi.

Laboratuardaki uygulamaları incelemek yerine Koşullar, CNIL gerçek bir dünya yaklaşımı benimsedi, altı gönüllünün telefonlarına kendi SIM kartlarını koymasını ve Ekim ayı ortası ile Ocak ortası arasında yapacakları gibi kullanmasını istediler. Bir gönüllü yaklaşık 100 uygulamayı indirdi ve bir tanesi Apple tarafından yüklenenlere sadece beş tane ekledi.

[Ekstra okuma: Her bütçeye en iyi Android telefonları.]

Uygulamaların 12'sinden biri adres defterine erişti ve neredeyse üç erişilen yer bilgisinden biri. Ortalama olarak, kullanıcılar çalışma boyunca konumlarını günde 76 kez izlediler. Foursquare ve Apple'ın kendi Maps uygulaması konum bilgilerini en sık sordu - belki de AroundMe ve Apple'ın Camera uygulamasıyla amaçlarına göre anlaşılabilir.

iPhone'un adı altıda bir uygulamayla erişildi. Neredeyse hiç bir amaç ve benzersiz bir tanımlayıcı olmaktan uzaktır, ancak genellikle kullanıcının ismini içerdiği için, kişisel olarak tanımlanabilir bilgiler olarak düşünülebilir.

Facebook'un görünüşte görünüşe göre bu tür özel bilgilere erişmek için çok az girişimde bulundu - ancak araştırmacılar Kullanıcıların zaten çok fazla söyledikleri gibi, gerek yok.

İki Fransız hükümet ajansı olan CNIL ve INRIA'dan araştırmacılar, Apple'ın iOS kullanıcılarına uygulamaların kendi özel bilgilerine nasıl eriştiğine ilişkin ek kontrol sağlamayı ve onlara herhangi bir zamanda bu erişimi gözden geçirin ve değiştirin.

Çalışmada en çok erişilen veriler iPhone'un Universal Device Identifier (UDID), bir seri numarası kalıcıydı. belirli bir telefonla ilişkili tly. Uygulamaların neredeyse yarısı buna erişti ve bunlardan üçte biri şifrelenmemiş İnternet üzerinden gönderdi. Bir günlük gazetenin uygulaması, çalışma süresince 1,989 kez UDID'ye erişerek, yayıncısına 614 kez yolladı.

CNIL sözcüsü Stéphane Petitcolas, kullanıcıların her türlü özel uygulamaya nasıl erişimlerini sınırlamak için yeni bir ayar aracıyla kontrolü nasıl geri kazanabileceğini gösterdi Bilgi, Apple'ın kullanıcılara bugün konum bilgilerine erişimi kontrol etmesine izin veriyor. Apple henüz bir araç görmedi, ancak INRIA, şirketin ilgisini çekerse kodu paylaşmayı düşünür, araştırma ekibinin yöneticisi Claude Castelluccia.

iPhone uygulamalarının alıcıları, uygulamalarının hangi bilgilere veya işlevlere erişeceğine dair çok az fikre sahip.. Google Play Store, bir uygulamanın hangi bilgilere ve işlevlere erişeceğini gösterir; ancak seçim tamamen veya hiç değildir. BlackBerry OS'nin eski sürümleri, uygulamaların kırılma riskiyle bir uygulamaya erişebilecekleri API'ları (uygulama programlama arabirimleri) seçme konusunda daha fazla özgürlük sunarken, BlackBerry 10'da granüler kontrolün yalnızca yerel uygulamalar için kullanılabilir olduğunu: Android uygulamaları seçim bir kez daha alıyor ya da bırakıyor.

Apple, kullanıcılara bu tür bir kontrol sağlamak için bebek adımlarını atıyor. IOS 5'de, bireysel uygulamaların konumlarına erişmesini önleyebilirler. Ayrıca, iOS 6, kullanıcıların tanımlamak ve reklamları hedeflemek için UDID'yi kullanarak geliştiricileri kullanmayı bırakması nedeniyle bir başka seçeneğe sahip olacaklardır.

Bunun yerine Apple, geliştiricilerin iOS 6'da tanıtılan Reklam Tanımlayıcı'yı kullanmasını istiyor. Bu, bir telefonla veya kullanıcıyla kalıcı olarak ilişkilendirilmez ve takip edilmek istemeyen kullanıcılar istedikleri zaman değiştirebilir - düşündükleri sürece Daha belirgin Ayarlar / Gizlilik yerine Ayarlar / Genel / Hakkında / Reklam bölümüne bakın.

Bu seçenek, teknik nedenlerle iOS 5 kullanılarak yürütülen CNIL-INRIA çalışmasında katılımcılara sunulmamıştır. INRIA'nın yeni sürümü kullanmak için izleme uygulamasını güncellediğini belirten araştırmaların bir sonraki aşaması iOS 6'yı kullanacak.

Uygulamaların özel bilgilere nasıl eriştiğini izlemek için INRIA'nın iPhone'ları hapse atması ve Apple'ı durdurmak için özel bir uygulama yüklemesi gerekiyordu. INRIA araştırmacısı Vincent Roca, uygulamaların özel bilgilere erişmesini istediği API'ları söyledi. Araştırmacılar iPhone'larda çalışmayı tercih ettiler çünkü iOS için geliştirdikleri deneyime zaten sahipler. Artık Android telefonlar için benzer yeteneklere sahip bir uygulama geliştiriyorlar, bunu kurmak için root'ları var.

INRIA'nın izleme uygulaması, telefondaki bir veritabanındaki her bir araya giren talebi, talep edilen özel bilgilerle birlikte kaydettirdi. Giden ağ trafiğinde tanımlayabilir. IOS 5 uygulaması, yalnızca şifrelenmemiş ağ trafiğini izleyebilir, ancak iOS 6 sürümü, trafiğin şifrelenmesinden önce ağ API'lerini çağırabilir, dedi Roca.

Bu uygulama, aynı zamanda çalışma için merkezi bir sunucuya araya giren istekleri de iletti - İlgili özel bilgiler, deneysel konular bile mahremiyetlerini hak ettikleri için, araştırmacılar vurguladı.

INRIA ve CNIL sadece altı iPhone'dan topladıkları verileri analiz etmeye yeni başlıyorlar: 7 milyon gizliliği kapsayan 9 gigabayt Üç aylık dönemdeki olaylar.

Çalışmanın daha önce ortaya koyduğu bir şey, özel verilere erişimin bazılarının tesadüfi olmasıdır. CNIL's Petitcolas, en yakın Paris yüzme havuzunu (yaklaşık 5 kilometre yarıçapı olan 38 şehir) tanımlamak için bir uygulama, işlevini gerçekleştirmek için gerekli olandan çok daha fazla erişim bilgisine erişti, görünüşe göre bir programlama hatası nedeniyle, CNIL'nin Petitcolas.