W dochodzeniu dotyczącym 550 najczęściej używanych aplikacji na iOS firma Zscaler stwierdziła, że 38 procent z nich nadal ma dostęp do identyfikatora UDID (Unique Device Identifier). Od maja 2013 r. firma Apple przestała akceptować aplikacje do swojego sklepu z aplikacjami, które chcą uzyskać dostęp do identyfikatora urządzenia. Ponadto wprowadzono już nowe interfejsy API w systemie iOS 6, które zastępują identyfikatory UDID.
Unikalny identyfikator urządzenia umożliwia jednoznaczną identyfikację urządzenia, a tym samym śledzenie zachowania użytkownika. Unikalne identyfikatory urządzeń są od lat wykorzystywane przez sieci reklamowe do dystrybucji reklam w sposób ukierunkowany. Ponieważ twórcy aplikacji często łączyli identyfikatory z nazwiskami użytkowników, hasłami, numerami telefonów komórkowych i innymi danymi, powstały liczne, często nieodpowiednio zabezpieczone, a w każdym razie słabo kontrolowane bazy danych zawierające obszerne dane osobowe użytkowników urządzenia.
Zscaler wyraźnie wskazuje, że w przeciwieństwie do innych, porównywalnych badań, nie ograniczył się do sprawdzenia, czy aplikacja może w zasadzie wykonywać określone funkcje, ale czy faktycznie to robi. Wymagało to jednak ucieczki z więzienia iPhone'ów użytych do testu - w przeciwnym razie eksperci nie uzyskaliby niezbędnego wglądu.
Z punktu widzenia Zscalera fakt, że 38 procent najpopularniejszych aplikacji nadal wymaga dostępu do identyfikatora UDID, jest niepokojący, ponieważ pozwala on twórcom aplikacji analizować zachowanie użytkowników w wielu aplikacjach, a tym samym bez żadnych wątpliwości identyfikować poszczególnych użytkowników. Ponadto identyfikatory UDID można powiązać z numerami telefonów komórkowych, nazwami i hasłami, danymi lokalizacji i innymi informacjami.
Nowe podejście Apple, UUID (Universally Unique Identifier), jest teoretycznie bezpieczniejsze, ale można je również oszukać. UUID jest unikalny dla każdej aplikacji i urządzenia. Jeśli aplikacja zostanie usunięta na urządzeniu, a następnie ponownie zainstalowana później, zostanie również utworzony nowy identyfikator UUID. W ten sposób zachowania użytkowników z kilku aplikacji nie mogą zostać połączone – przynajmniej teoretycznie. Ponieważ, jak wyjaśnia Zscaler, programiści po prostu przechowują identyfikator UUID w pęku kluczy użytkownika i zapisują go, instalując wiele aplikacji.
Kolejnym ważnym odkryciem badania Zscalera jest to, że 60 proc. aplikacji z obszaru gier i rozrywki żąda dostępu do funkcji telefonii, tj. informacji o dostawcy sieci komórkowej i rozmowach telefonicznych, a także danych o lokalizacji. Firma uważa, że ten fakt jest bardziej kwestią prywatności, ale jest to niepokojące.
Zscaler zaleca użytkownikom i firmom, które umożliwiają korzystanie z urządzeń z systemem iOS, ostrożność. W końcu nie wszystkie te ataki na prywatność powinny być postrzegane jako groźne przez wszystkich w ten sam sposób. Podczas gdy Apple nie jest w stanie zapewnić często sugerowanego bezpieczeństwa i ochrony nawet przy zakazie dostępu do UDID, który najwyraźniej nie jest ściśle egzekwowany, użytkownicy urządzeń z systemem iOS po jailbreaku mają możliwość przynajmniej tajnego dostępu do książki adresowej za pomocą Protect moja Prywatność do ustalenia i, jeśli to konieczne, do natychmiastowego zakazania.
Galeria zdjęć
Ochrona danych w aplikacjach: Chroń moją prywatność chroni przed nieautoryzowanym dostępem do książki adresowej
[z materiałem od Petera Marwana, ITespresso.de]
Wskazówka: na ile masz pewność co do bezpieczeństwa? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de
Category
ostatnie artykuły
Popularne informacje
popularne artykuły
![Apple wydaje iOS 6.0.1 [Linki do pobrania]](https://www.phonetoolbox.pl/storage/upload/Images/_1630914376_Y0KGkZoaHw.jpg)
Leave a Comment