Како нам апликације краду податке

Када преузмамо неку апликацију, захтев за дозволу за приступ информацијама и функцијама мобилног телефона и политика приватности обично су једина два упозорења о преузимању наших података, а ми треба да верујемо на реч да ће узети само податке за које смо им одобрили приступ. Међутим, изгледа да није тако.

Истраживачи безбедности на интернету открили су да апликације које инсталирамо на наше мобилне телефоне преузимају много више података о нама, него што нам саопштавају у упозорењу. А утврђено је да више од хиљаду апликација преузима наше податке из телефона, чак и ако смо им ускратили дозволу.

На пример, апликација за праћење месечног циклуса код жена, своје податке је поделила са „Фејсбуком“ и сродним компанијама. Слично њима, апликације које спречавају аутоматске позиве поделиле су податке корисника са компанијама које се баве аналитиком, наводи Синет.

Кад год уређај шаље податке проток и повезивање се бележе. Локација нам се проверава кад год пратимо временску прогнозу, а ти подаци се шаљу оглашивачима.

Истраживачи који прате безбедност на интернету имају алат који им омогућава да виде ту врсту повезивања. Затим податке анализирају како би утврдили колико података се шаље и куда. Обично су анализе промета података рађене на основу прегледа са јавних вај-фај мрежа.

Међутим, анализа се сада спроводи и на мобилним телефонима како би се утврдило које податке апликације преузимају од корисника и шаљу даље.

Када су „завирили“ унутра, установили су да многе апликације шаљу податке који далеко премашују оно на што су људи пристали.

„На крају, остаје вам политика приватности која је у ствари бесмислена, јер не описује шта се тачно догађа. Једини начин да се одговори на то питање је да се види шта апликација ради с тим подацима“, каже Серж Иглман, директор истраживања сигурности и приватности на Међународном институту за компјутерску науку.

Понекад, подаци се само прослеђују оглашивачима, који мисле да их могу користити за продају производа. Подаци о локацији мобилног телефона могу бити „златан рудник“ за оглашиваче, како би знали где се људи налазе у одређеним временским раздобљима.

Исто тако, податке добијене преко апликација могу користити и државне службе за праћење кретања. Недавно је Волстрит џорнал објавио како државне безбедносне службе такве податке користе како би пратиле кретање имиграната.

Праћење локације

Вил Страфач је почео да се бави анализом промета на мрежи још 2017. године док је радио у компанији која се бави безбедношћу мобилних телефона чији је и суоснивач.

Чак и када је ГПС искључен на телефону Страфач је открио „рупе“ које омогућавају праћење података, као што је прикупљање информација о локацији када је телефн повезан на вај-фај мрежу.

Проблем је изашао на видело када је откривено да Акуведер, популарна апликација за временску прогнозу, шаље податке о локацији корисника, чак и када је опција за дељење локације искључена.

Страфач је установио да скривено праћење локације, као што је код Акуведера, представља један од највећих проблема приватности код апликација. Људи дају дозволе апликацијама за сврху која им је потребна, као што је проналазак најјефтиније бензинске пумпе у околини, али не схватају да се у позадини информације деле.

За разлику од злонамерних софтвера, које Страфач такође истражује, ове апликације се нормално налазе у Гугл и Епл продавницама, а у неким случајевима долазе већ инсталиране с мобилним телефоном.

Често у питању није само једна апликација. Реч је о начину како су повезане, о скривеној мрежи података у коду која им помаже да изграде свеобухватну слику о некоме и шта он ради. Иако компаније тврде да су подаци анонимни, потребно је мало напора како би се утврдило ко је особа на основу локације, времена и активности које се могу прикупити.

На Међународном институту за компјутерску науку на Универзитету Беркли, Серж Иглман води тим од око 10 истраживача који у лабораторији користи више прилагођених Андроид паметних телефона програмираних за претраживање нових апликација у Гугл плеј продавници и откривање података које свака апликација узима с уређаја.

Њихов алат тражи нове апликације и додаје их у базу података, а оне се у бази проверавају сваке две седмице да би се утврдило јесу ли им додати нови софтвери за праћење.

Иглман је 2019. године објавио извештај у којем је описано како око 17.000 Андроид апликација које креирају трајни запис о активностима уређаја.

Више од годину дана касније, како каже, ништа се није променило.

Што можемо да учинимо да бисмо се заштитили

Једино што се за сада може учинити, то је не преузимати апликације које ово раде. Иглман је свој алат из истраживања претворио у технику коју људи могу да користе како би проверили апликације које имају на својим уређајима.

Наравно, он не очекује да ће свака особа одједном научити како да уради анализу мрежног саобраћаја, нити ће људи то желети.

„Ако је потребан тим истраживача који пишу своје властите софтвере и истражују мрежни промет да би схватили о чему се тачно ради, свакако није разумно очекивати да ће просечни потрошач учинити исто. Уместо тога, потребне су надзорне групе и регулаторна тела. Они би требало то да раде, а не потрошачи“, истиче Иглман.

Свој алат је понудио преко апликације која се зове Епцензус (AppCensus), а која омогућава кориснику претраживање апликација и увид који су подаци послати и који се шаљу. Тим такође ради на апликацији која ће упозорити власника телефона кад год се подаци за идентификацију шаљу софтверима за праћење.

За преузимање је доступан и алат Чарлс прокси (CharlesProxy), који ради пресретање мрежног промета и са компјутера и са телефона.

Вил Стафач каже да његова компанија ради на ажурирању сигурносне апликације која ће обавештавати људе кад год нека апликација узме више података са мобилног телефона него што је требало.

РТС, CNET