Indokolatlanul sok adattal játszanak a mobil appok

Két francia intézet, a CNIL (Commission nationale de l'informatique et des libertés) és az INRIA (Institut national de recherche en informatique et en automatique) tanulmánya 189 különböző iPhone alkalmazás viselkedését vizsgálta hosszú időn keresztül a megfigyelt készülékekre telepített monitoring szoftverekkel és elemző eszközökkel. A cél az volt, hogy kiderüljön, hogyan viselkednek általában a szoftverek, mi az iparági gyakorlat a privát adatok kezelésére vonatkozóan. A francia tanulmány egyáltalán nem azzal a céllal született, hogy konkrét alkalmazásokat buktasson le, hanem általános piaci tendenciák meghatározása volt a cél.

A kutatás nem csak célját tekintve különbözött a korábbi hasonló tematikájú vizsgálatoktól, hanem módszertanában is. Ahelyett, hogy a megfigyelt alkalmazásokat mérnökök és biztonsági-szakértők ízekre szedték volna, a CNIL kutatása egy teljesen életszerű környezetben hagyta működni az alkalmazásokat. A minta nem volt széles, mindössze hat önként jelentkezőt kértek fel arra, hogy használják saját SIM-kártyájukat az elemzőszoftverrel ellátott iPhone készülékekben, viszont a kísérlet tavaly októbertől idén januárig tartott.

Kevés alany, hosszú vizsgálat

A hat alany közül az egyik több mint 100 appot telepített ez idő alatt, míg egy másik csupán öt alkalmazást telepített a gyári kínálat mellé. Ha esetleg bármelyiküket feszélyezte volna kezdetben, hogy egy kísérlet alanyaként nyomkodja okostelefonját, pár hét után már biztosan természetesen viselkedett, a nem tudományos módszerekkel kiválogatott alkalmazások pedig biztosan nem voltak szégyellősek, így a vizsgálat eredményei igazak lehetnek a hétköznapi felhasználási kontextusra.

A kísérlet szerint minden 12. app hozzáférést kér a címjegyzékhez, minden harmadik pedig szeretné tudni, hogy fizikailag hol tartózkodunk. Egy átlagos felhasználóról naponta 76 alkalommal készül lokációs “jelentés”. Természetesen a bevallottan geolokációs appok, mint a Foursquare vagy a Maps, Apple Maps kérte legtöbbször a helyinformációkat, de ezen talán nem is lepődünk meg, sokkal inkább, amikor egy újság vagy egy játék teszi ugyanezt.

Egy látszólag céltalan érdekességre is fény derült: a kutatás szerint minden hatodik alkalmazás kikérte az iPhone eszközazonosító nevét, amit a felhasználó maga állít be, így egyedi azonosításra alkalmatlan (Józsi iPhone-ja), viszont személyes információnak tekinthető. Főleg érthetetlen ennek az adatnak a kikérése, amikor az appok többsége kikéri az úgynevezett UDID-t, ami az iPhone készülékek egyedi azonosítására szolgáló sorozatszám, s mivel minden eszköz párosítva van egy iTunes fiókkal is, így ez viszont egyedi személyazonosításra is alkalmas. Az appok közel fele kikérte az UDID-t, de ami ennél is ijesztőbb, hogy többségük titkosítás nélkül küldte azt tovább a saját szervere felé. Egy napilap alkalmazása a teszt során 1989 alkalommal kérte le az eszköz UDID-jét és 614 alkalommal továbbította az adatokat a kiadóhoz.

Ez történik a háttérben

Az okostelefonvásárlók többségének fogalma sincs arról, hogy az alkalmazások mit csinálnak, a fejlesztők többnyire pedig figyelnek arra, hogy a felhasználók ne rémüljenek meg, ne történjenek olyan dolgok, ami félelmet vagy meglepetést kelt bennük. Az iOS-en ugyan van előzetes ellenőrzés az Apple oldalán, de a felhasználó már nem tudja, hogy egy adott program mihez fog hozzáférni a készüléken lévő adatok közül. A Google Android esetében legalább az app Play profiljában, illetve telepítés közben megjelennek a legfontosabb vagy kérésre a tételes jogosultságok is. A probléma csupán annyi, hogy ezeket a felhasználók nehezen tudják értelmezni. Gyakran félreértés is van abból, hogy miért kér egy alkalmazás teljes internet hozzáférést, a laikus felhasználónak pedig nehéz lehet elmagyarázni a hibrid appok működési elvét.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A BlackBerry OS korábbi verzióiban minden alkalmazásnál egyesével lehetett állítani, hogy milyen API-hoz kap hozzáférést,ezáltal sokkal nagyobb volt a szabadság, az Android és iOS rendszereknél ez viszont már nem módosítható tételesen, a választás mindössze annyi, hogy feltelepítjük az alkalmazást vagy sem. A frissebb Android verzióknál megvonható a hálózati kapcsolat, illetve a helyinformációkhoz való hozzáférés az alkalmazásoktól, de ez általában a működést is befolyásolja, ez nem valódi megoldás. Az iOS 5-ben is megjelent a lokáció tiltása apponként, majd az iOS 6-tól az UDID használatát is igyekezett korlátozni az Apple, de ezek messze nem elég markáns lépések ahhoz, hogy tisztán átlátható legyen az alkalmazások háttértevékenysége.

Izzanak az API-k

Még a francia kísérlet sem látta teljesen tisztán, hogyan zajlik az appok részéről a “hazaszólás”, a jelenlegi verzió kizárólag iOS-en működik, ráadásul a telepítéshez jailbreakelni kellett az iPhone-okat. A speciális alkalmazás az Apple API-kon keresztüli kommunikációt csípte el és regisztrálta azokban az esetekben, amikor az appok privát információkhoz igényeltek hozzáférést. Az első verzióban csak a nem titkosított hálózati forgalmat tudták figyelni, de a következő, már iOS 6-ra épülő verzió a titkosítás előtt látni fogja, hogy mi történik, így még teljesebb lehet a kép. A vizsgálat a következő fordulóban kiterjed majd az Android platformra is, kiderül milyen különbség van a két rendszerre fejlesztett appok között ezen a téren.

Egyelőre azonban még tart az első felvonás adatainak elemzése, a hat iPhone-ról a kutatók magukat az adatokat nem gyűjtötték be, a saját szerverük felé minden esetben csak azt küldték ki, hogy milyen alkalmazás, milyen fajta adatot igényelt és azt hol használta tovább. A háromhónapos kísérlet során így is 7 millió adatkérési eseményt regisztráltak, ami 9 gigabájt naplófájlt generált. Sok részlet még nem derült ki, de az megnyugtató,hogy az alkalmazások többsége egyáltalán nem rosszindulatú és ha indokolatlanul sok adatlekérést is használ, az is általában programozási hiba és nem szándékos megfigyelés.

A globális trendekből Magyarország sem marad ki, a felhasználók nálunk sem viselkednek tudatosabban vagy kevésbé tudatosan, mint francia vagy amerikai társaik - derül ki a Telenor sajtóközleményéből. A szolgáltató által múlt hónapban, körülbelül ezer felhasználó megkérdezésével végzett gyorsfelmérés eredménye szerint ugyan a rosszindulatú támadások kockázata nőtt, a felhasználók nem fordítanak több figyelmet az okostelefonos adatbiztonságra.

Figyelmetlen mobilozók

Ugyan a francia példa alapvetően az alkalmazások biztonsági szintjeit és az indokoltnál több privát információra vonatkozó kéréseket firtatta, a probléma másik oldala is legalább annyira fontos és jelentős. Mivel a legtöbb app még ma sem használ titkosított csatornákat adatküldésre, ezért komoly rizikó, hogy a megkérdezett okostelefonozók 69 százaléka használ nyitott Wi-Fi hálózatokat idegen helyeken, többnyire azért, hogy spóroljon a havi adatforgalmi keretével. A megkérdezettek közel fele nem is gondolkodott még azon, hogy a személyes adatok, képek, céges dokumentumok, bizalmas iratok mobilkészüléken való tárolása probléma lehet. A válaszadók 46 százaléka nem használ jelszavas védelmet sem mobilján, bárki, aki fizikailag hozzáfér az eszközhöz teljes mértékben rendelkezhet az illető digitális személyiségével.

Érdemi változást, nagyobb odafigyelést nehezen lehetne várni az okoseszközöket egyszerű műszaki cikként használóktól, a biztonságosság felelőssége sokkal inkább terheli a platformtulajdonosokat. A két legnagyobb szereplő, az Apple és a Google egyre több eszközt vet be azért, hogy elejét vegye a visszaéléseknek, illetve hogy feloldja a felhasználók bizalmatlanságát. Sok esetben a személyes adatok kezelése nem megkerülhető, sőt, teljesen szándékos, az alkalmazások célja éppen a privát adatok és a háttéradatbázisok kombinálása a felhasználó számára várható előny elérése érdekében. Ennek eredményében az emberek általában nem is kételkednek, de az átláthatatlan fekete dobozként működő felhőszolgáltatások nem segítik a bizalom kialakulását, a viszonylag kevés, de nagyon káros, rosszindulatú szoftver pedig a többség által elért csekély bizalmat is semmissé teheti.