La momentul introducerii Clueful pentru Android ne-am gândit că utilizatorii de dispozitive mobile ar trebui să știe ce fac aplicațiile pe care ei le instalează pe terminalele lor. După doi ani și câteva sute de mii de aplicații analizate, tehnologiile Clueful au detectat o tendință interesantă: aplicațiile sunt la fel de invazive și curioase indiferent dacă rulează pe terminale cu Android sau iOS și chiar dacă unii ar putea spune că un sistem de operare este mai sigur decât celălalt.  

Timp de mai bine de un an, am colectat aplicații din Play Store și iTunes și am realizat analize statistice și dinamice. Pentru versiunea Clueful de Android am agregat informații din 314.474 aplicații, în timp ce versiunea Clueful de iOS cuprinde date din analiza a 207.873 aplicații. Analizele efectuate oferă indicii care permit utilizatorilor să aibă o viziune completă asupra informațiilor personale pe care aplicațiile încearcă să le acceseze, asupra permisiunilor pe care acestea le solicită și asupra modului în care folosesc datele personale la care au acces.  

ABC-ul permisiunilor aplicațiilor

Înainte de a intra în detalii, menționăm că permisiunile aplicațiilor sunt diferite în funcție de sistemul de operare. De exemplu, dacă pe Android permisiunile sunt enumerate la instalare și nu pot suferi schimbări ulterioare, pe iOS sunt acordate în timpul rulării aplicației, când utilizatorii trebuie să permită sau să respingă accesul la diverse resurse, precum locația curentă. Pe lângă aceste aspecte, ambele tipuri de aplicații, și cele pentru Android și cele pentru iOS, pot interacționa în diferite moduri cu terminalul utilizatorului, dar și cu serviciile de internet terțe.

Indicii comparabile

Așa cum am menționat anterior, indiciile din Android și iOS nu pot fi comparate, întrucât, cel mai adesea, permisiunile Android nu au un corespondent în aplicațiile iOS, iar unele comportamente care se regăsesc pe Android sunt inacceptabile pentru aplicațiile iOS livrate prin AppStore (de ex: citirea numărului de telefon al utilizatorului). În timp ce unele restricții de confidențialitate sunt foarte puternice pe iOS, peisajul amenințărilor este similar cu cel de pe Android. Analiza Bitdefender se concentrează pe cele mai intruzive comportamente pe care dezvoltatorii de aplicații ar fi putut să le includă în produsele lor. Am luat, de asemenea, în calcul comportamentele similare în iOS și Android:

1.    Urmărirea locației

Urmărirea locației utilizatorului este un aspect îngrijorător în cazul ambelor platforme. Implementarea și utilizarea acestei funcții se realizează similar și pe Android și pe iOS, iar locația este adesea solicitată de furnizorii de publicitate prin cadre ce urmăresc obiceiurile de consum ale utilizatorilor. Testul Clueful scoate la iveală faptul că 45,4% dintre aplicațiile de iOS au posibilitatea să urmărească locația utilizatorilor, chiar dacă nu fac asta în mod explicit. Spre comparație, doar 34,5% dintre aplicațiile de Android analizate au această capacitate.

Exemple de aplicații care înregistrează locația:

ANDROID

·         Latest Nail Fashion Trends (v.3.1), cu o bază de clienți estimată cuprinsă între 100.000 și 500.000.

iOS

·         PokerStars TV(v.2.2.2.0) – folosește geolocație pentru a urmări locația exactă a utilizatorului

·         Cheezburger(v.1.2.2 ) - folosește geolocație pentru a urmări locația exactă a utilizatorului

2.    Citirea listei de contacte

În timp ce numai 7,6 dintre aplicațiile de Android solicită permisiunea utilizatorului pentru a citi lista de contacte, cele de iOS sunt ceva mai curioase, întrucât 18,9% dintre cele analizate sunt tehnic capabile să facă asta.

Exemple de aplicații care citesc lista de contacte:

ANDROID

·         Longman Contemporary English(v.1.81) - com.flexidict.data.longmancontemporary, eliminată momentan din Play Store;

·         Cambridge American Idiom(v.1.81) - com.flexidict.data2.cambridgeamericanidioms – eliminată momentan din Play Store.

iOS

·         OLJ (v.1.1)– citește numele și adresa de email a contactelor și le trimite către un server terț

·         3D Badminton II(v.2.026) - citește adresa de email a contactelor și le trimite către un server din Hong Kong.

3.    Transmiterea adresei de email sau a ID-ului terminalului

Unele dintre cele mai importante informații pentru o companie de publicitate sunt adresele de email și numărul unic de identificare a terminalelor (IMEI). Aceste date pot fi distribuite unor terțe părți și pot fi folosite de exemplu pentru a trimite consumatorilor reclame adaptate în funcție de comportamentul lor, potrivit unui raport recent al Federal Trade Commission .

Aproximativ 14,5% dintre aplicațiile de Android pot transmite mai departe ID-ul dispozitivului și 5,7% dintre ele pot transmite emailul. Din nou, aplicațiile iOS par a se concentra mai mult pe culegerea de date personale decât cele de Android. După incidentele de securitate din 2012, când agenția de publicitate Blue Toad a pierdut un million de ID-uri unice, Apple a decis să nu ma idea voie dezvoltatorilor să acceseze ID-ul unic al terminalului.

Exemple de aplicații care citesc adresa de email:

ANDROID

·         Logo Quiz Car Choices (v. 1.8.2.9) – car.logo.quiz.game.free – between 100,000 and 500,000 installations

·         Blowing sexy girl’s skirt (v. 1.6.0) – yong.app.blowskirt – – 100.000 – 500.000 instalări

iOS

·         Ringtone Maker(v. 1.7)- trimite ID-ul terminalului către "adfonic.net"

Paradise Island: Exotic(v. 1.3.14) – trimite ID-ul de terminal către site-uri terțe (către "offer.17bullets.com", "islandexotic.17bullets.com", "ma.mkhoj.com", "1.trace.multiclick.ru", "a.jumptap.com", "soma.smaato.com"

Exemple de aplicații de Android care trimit ID-ul dispozitivului:

·         Football Games - Soccer Juggle(v. 1.4.2) – com.madelephantstudios.BallTapp – între 100.000 și 500,000 instalări

·         Logo Quiz NFL NHL MLB NBA MLS(v.1.0.2.8) – com.fesdra.logoquiz.ussport – între 1.000.000 și 5.000.000 de instalări

4.    Transmiterea numărului de telefon

Numerele de telefon sunt legătura dintre persoana fizică și identitatea sa virtuală și permit corelarea informațiilor despre comportamentul utilizatorului în cadrul aplicației (ce conținut este interesant pentru el, ce aplicații are instalate etc.) și persoana căreia îi aparțin prin intermediul numelui și prenumelui. 8,8% dintre aplicațiile de Android analizate de Clueful pot transmite numerele de telefon ale utilizatorilor către agenții de publicitate terțe. Aplicațiile ce integrează AirPush și în unele cazuri, LeadBolt permit dezvoltatorilor să colecteze, să cripteze și să trimită numărul de telefon al terminalului. În unele țări operatorii blochează acest comportament pentru a proteja datele utilizatorilor.

Exemple de aplicații care încearcă să trimită numărul de telefon:

ANDROID

·         Football Games - Soccer Juggle(v.1.4.2) – com.madelephantstudios.BallTapp(100.000 – 500.000 instalări)

·         Button Football (Soccer)(v.1.10.3)– com.sicecommentr.buttonfootball(1.000.000 – 5.000.000 de instalări).

Sistemul de operare Android permite consumatorilor să aleagă de unde își instalează aplicațiile. Astfel, utilizatorii pot nu doar să-și instaleze aplicații din alte magazine decât cel al Google, dar își pot și instala aplicațiile direct de pe website-ul dezvoltatorului. Atunci nu vor beneficia însă de mecanismele de securitate implementate de Google în PlayStore. În absența acestui filtru, aceste aplicații ar putea colecta mult mai multe date decât au nevoie pentru a funcționa normal.

Zone gri în comportamentul aplicațiilor

Dacă accesul la informațiile referitoare la locație poate fi util și poate fi folosit în mod legitim de aplicații, trimiterea acestor informații pe internet nu este doar inutilă, dar poate prezenta anumite riscuri pentru utilizatori. Vorbim de cazurile tipice de utilizare neclară, când informații inutile pentru buna funcționare a aplicației sunt sustrase doar pentru a completa un alt set de informații deja agregate.

Aproximativ 10% dintre aplicațiile analizate de Android fac acest lucru cu sau fără informarea prealabilă a utilizatorilor. Alte aplicații care trimit informații referitoare la locație, transmit mai departe companiilor de publicitate numărul de telefon și adresa de email.

Aplicații cu comportament dăunător prin neglijență

În timp ce urmărirea locației, citirea contactelor și interacțiunea cu site-urile de social media pot fi utile în funcționarea aplicațiilor, amenințări semnificative provin din implementarea improprie a tehnologiilor, precum protocoalele de trimitere a datelor din terminalul utilizatorilor în cloud. De exemplu, păstrarea necriptată a ID-ului sau trimiterea parolelor în clar în procesul de autentificare sunt foarte periculoase pentru un terminal mobil care este adesea conectat la puncte de acces public la internet sau în rețele monitorizate.

Concluzii

Un vechi proverb spune că dacă nu plătești pentru un produs, atunci tu ești produsul vândut. Ecosistemul aplicațiilor gratuite este gratuit pentru utilizator, dar este monetizat intens de dezvoltator. Pe scurt, o aplicație devine gratuită doar după ce utilizatorul a plătit-o cu datele lui confidențiale. Iar situația devine și mai neplăcută atunci când plata respectivei aplicații nu oprește fluxul de informații extrase despre utilizator și nici nu șterge infomațiile care au fost deja sustrase de pe terminal. Mai mult decât atât, colectarea de informații are loc fără ca utilizatorul să fie conștient de aspectele asupra cărora și-a dat acordul la instalare. 

Modelul aplicațiilor susținute din reclamă este practicat încă de la apariția internetului și a fost unul dintre factorii care au contribuit dramatic la expansiunea world wide web-ului. Surse de peste tot din lume și-au dat acordul pe programele de promovare care plătesc traficul și permit distribuirea conținutului gratuit către utilizatori.

Însă reclamele pe mobil sunt cu totul o altă poveste: ele se integrează în terminal, nu rulează în browser, izolate de alte aplicații. Pe mobil, sistemele de afișare a reclamelor pot afla obiceiurile de comunicare ale utilizatorului, prietenii, contactele prietenilor, locația și – mai frecvent – toate acestea în același timp. Asta le transformă în echivalentul modern al programelor spion instalate în terminalul folosit pe tot parcursul zilei.

Misiunea Clueful este să aducă lumină pe ecosistemul aplicațiilor și să atragă atenția asupra amenințărilor legate de confidențialitatea datelor personale pe care utilizatorul le expune la simpla instalare a unei aplicații.