"Привет @Aeromexico, почему ты пытаешься использовать камеру моего мобильного телефона?" С этим сообщением британский журналист Дункан Такер спросил у авиакомпании несколько недель назад, почему он пытался получить доступ к камере телефона, когда, кроме того, у него было деактивировано соответствующее разрешение. Практически все приложения на рынке собирают пользовательские данные и имеют доступ к определенным разрешениям. Но во многих случаях пользователь сбегает, когда приложения используют их и делают это легально. Можно ли узнать, когда приложение обращается к камере, фотографиям или микрофону мобильного телефона? Вот несколько советов по управлению разрешениями приложений.
Хавьер Таллон, член группы компьютерной безопасности и защиты Совета колледжей компьютерной инженерии, объясняет в связи с делом Такера, что доступ к камере мексиканской авиакомпании может быть законным в некоторых ситуациях. Например, в том случае, если он использовался для считывания кодов банкнот. Но, судя по твиту журналиста, приложение пыталось получить доступ к этому разрешению в то время, когда оно не применялось.
Такер узнал о намерениях мексиканской авиакомпании, потому что он активировал «монитор разрешений приложений» на своем смартфоне. Эта функция доступна только для некоторых терминалов Samsung, которая позволяет вам предоставлять разрешения по запросу для каждого приложения и знать, когда оно используется. «Получать уведомления, когда приложения, работающие в фоновом режиме, используют выбранные вами разрешения», появляется при включении этой функции в настройках телефона. Кроме того, все эти действия записываются в историю, которую пользователь может просмотреть в любое время.
Монитор разрешений в этом случае предупреждает о намерении и не столько о его исполнении, по словам Таллона, который также является соучредителем и техническим и операционным директором JT sec Beyond IT Security: «Мы можем думать об этом, когда имеем дело с применением Используя камеру, монитор разрешений обнаруживает подозрительное поведение и выдает предупреждение. Однако приложению так и не удалось получить доступ к камере устройства, поскольку разрешение было отключено. "
Какую информацию позволяет каждое приложение?
Как правило, пользователь может знать список разрешений, необходимых для работы приложения во время установки. По словам Таллона, приложения обычно запрашивают у пользователя в среднем от трех до четырех разрешений. По его словам, наиболее запрашиваемые разрешения – это доступ к файлам пользователя, камере устройства и службам определения местоположения. И приложения, которые, как правило, запрашивают наибольшее количество разрешений, относятся к социальным сетям и интернет-магазинам.
«После того, как приложение установлено, мы можем в первый раз узнать, что оно использует каждое разрешение, поскольку оно будет запрашивать у пользователя его выполнение», – объясняет Исмаэль Моралес, член CCII Defense Security Group и CCI и технический менеджер по кибербезопасности в Wellness TechGroup. , Тогда приложения не будут нуждаться в согласии пользователя каждый раз, когда они используют ранее принятые разрешения: «С этого момента пользователь больше не знает, когда приложения используют разрешения».
Фактически, мобильная функция Tucker доступна только на некоторых телефонах Samsung и не распространена на других терминалах. «Обычному пользователю трудно знать, к какой информации приложение или устройство имеет доступ, вне контроля прав», – говорит Таллон. Чтобы защитить себя, проконсультированные эксперты рекомендуют устанавливать только те приложения, которые действительно необходимы, и проверять перед этим, могут ли запрошенные разрешения быть неправомерными. Моралес сообщает, что в случае наличия нескольких альтернатив при установке приложения, которое предлагает те же функциональные возможности, предпочтительно установить минимальные разрешения, которые мы считаем оскорбительными для запроса.
инструменты
Исследователь ИКСИ Серж Эгельман объясняет, что существует множество веб-сайтов и инструментов, которые отображают разрешения, запрашиваемые приложением, но не сообщают, действительно ли эти разрешения используются на практике или точное время их использования: «Знайте, что разрешение является это не то же самое, что знать, что оно действительно использовалось. "
Чтобы определить, какие разрешения использует приложение и когда оно это делает, операционная система должна быть изменена. Он сделал это с группой исследователей и создал AppCensus, компанию, которая отвечает за проверку поведения различных приложений Android. «В течение нескольких лет мы создавали нашу собственную версию Android, которая включает инструментарий для контроля доступа приложения к личным данным. Поскольку это требует модификации операционной системы, это невозможно сделать в приложении, установленном из Play Store », – говорит он.
AppCensus предоставляет информацию о поведении различных приложений на рынке на своем веб-сайте, чтобы пользователь мог знать, к каким данным он обращается, и если они передаются третьим лицам. По словам Эгельмана, это один из немногих способов понимания потребителями последствий для конфиденциальности приложений, которые они используют. Он подчеркивает, что раньше было только два способа узнать: прочитать политику конфиденциальности и изучить сетевой трафик. «Мы все знаем о проблемах с политикой конфиденциальности. Они неоднозначны, трудоемки и трудны для чтения. Во-вторых, ожидать, что средний пользователь будет отслеживать и анализировать сетевой трафик, просто абсурдно, и это означает, что, когда он обнаружит плохое поведение, все будет кончено », – добавляет он.
Джоэль Рирдон, доцент в Университете Калгари и другой архитектор AppCensus, ставит под сомнение удобство использования инструмента, который постоянно информирует пользователя о том, что приложение будет использовать их разрешение. Для него было бы полезно, если бы пользователь мог, например, запретить доступ к местоположению, микрофону или камере, когда экран терминала или звук отключены.
И Эгельман, и Рирдон подчеркивают, что некоторые приложения ищут способы доступа к определенной информации, даже если пользователь явно отказал в разрешении. Оба приняли участие в расследовании, проведенном группой экспертов по кибербезопасности, которое показало, что до 12 923 приложений нашли способ продолжить сбор частной информации, несмотря на явное отказ в их разрешениях. По их словам, число потенциальных пользователей, затронутых этими результатами, составляет «сотни миллионов».
СОВЕТЫ ДЛЯ ЗАЩИТЫ САМОГО ПОЛЬЗОВАТЕЛЯ
Разработчики приложений и даже производители терминалов часто собирают информацию о пользователях без их согласия. Об этом говорит Таллон, который указывает на существенную разницу в качестве smartphones от разных производителей: «Хотя тенденция состоит в том, что наиболее известные производители являются наиболее надежными, очевидно, что крупномасштабный трафик информации о пользователях является очень прибыльным бизнесом, в котором, скорее всего, наиболее крупные компании в мире smartphones участвовать. "
Поэтому он указывает, что идея состоит в том, чтобы попытаться использовать устройства, безопасность которых была проверена и сертифицирована профессионалами в секторе, независимом от производителей.
Со своей стороны, Моралес предупреждает, что «одним из самых слабых мест смартфона является заряд». Как он объясняет, существуют кабели для зарядки мобильного телефона, которые не позволяют обмениваться данными, когда, например, мобильный телефон подключен к компьютеру. «В этом случае одной из основных мер является попытка избежать зарядки мобильных телефонов с помощью кабеля, который предназначен не только для зарядки в общественных местах», – говорит он.
Add comment