Tutkimus: Matkapuhelinohjelmat katsovat yksityisiä tietoja enemmän kuin tarpeen

Matkapuhelinohjelmat käyttävät käyttäjien yksityisiä tietoja ja lähettävät sen etäpalvelimiin paljon enemmän mutta se näyttää ehdottoman välttämättömältä, kun taas käyttäjillä on riittämättömiä työkaluja tällaisen käyttöoikeuden valvomiseksi tai valvomiseksi kahden Ranskan valtion virastojen tekemän uuden tutkimuksen mukaan.

Ranskan kansallinen tietokone- ja vapauskomissio (CNIL) tutki 189 sovelluksen käyttäytymistä kuuden iPhonet, jotka on varustettu tietojenkäsittelytieteen ja -ohjauksen tutkimuslaitoksen (INRIA) kehittämällä valvontaohjelmistoilla ja analysointityökaluilla. Tavoitteena oli parantaa yleistä ymmärrystä siitä, miten sovellukset käyttävät yksityisiä tietoja, eivätkä osoita sormea ​​tietyille kehittäjille, CNIL: n presidentti Isabelle Falque-Pierrotin sanoi tiistaina lehdistötilaisuudessa esitelläkseen tutkimuksen.

CNIL otti reaalimaailman lähestymistavan ja pyysi kuutta vapaaehtoista asettamaan omat SIM-korttinsa puhelimeen ja käyttämään niitä omalla tavallaan lokakuun puolivälistä tammikuun puoliväliin. Yksi vapaaehtoinen ladata lähes 100 apps ja yksi lisäsi vain viisi Applen asentamista.

[Lue lisää: Paras Android-puhelimet jokaiselle budjetille.]

Yksi 12: stä sovelluksesta käsitteli osoitekirjaa ja lähes yksi kolmesta käytettävissä olevasta sijaintitiedosta. Keskimäärin käyttäjien sijaintipaikka seurattiin 76 kertaa päivässä tutkimuksen aikana. Foursquare ja Applen omat Maps -sovellukset hakivat sijaintitietoja useimmiten - ehkä ymmärrettävästi, kun otetaan huomioon niiden tarkoitus - AroundMen ja Applen kameran sovelluksen läheisyydessä.

iPhonen nimeä käytti yksi sovellus kuudessa, jotain tutkijat löysivät selittämättömiä, koska se palvelee melkein mitään tarkoitusta ja se on kaukana yksilöivästä tunnisteesta, mutta koska se sisältää usein käyttäjän nimen, sitä voidaan pitää henkilökohtaisesti tunnistettavana.

Facebookin sovellus ei ilmeisesti yrittänyt saada tällaisia ​​yksityisiä tietoja - mutta sitten tutkijat sanoivat, sillä se ei ole tarpeellista, koska sen käyttäjät kertovat siitä niin paljon.

Kahden ranskan valtion viraston, CNILin ja INRIA: n tutkijat haluavat antaa Applen iOS-käyttäjille lisävalvontaa siitä, miten sovellukset pääsevät yksityisiin tietoihisi. tarkistaa ja muuttaa pääsyä milloin tahansa.

Tutkimuksessa kaikkein eniten kerätyt tiedot olivat iPhonen Universal Device Identifier (UDID), sarjanumero pysyi joka liittyy tiettyyn puhelimeen. Lähes puolet sovelluksista pääsi siihen, ja yksi kolmesta niistä lähetti sen Internetin välityksellä salaamattomana. Yhden päivittäisen sanomalehden käyttö otti UDID: n käyttöön 1,989 kertaa tutkimuksen aikana ja lähetti sen 614 kertaa julkaisijalleen.

CNIL: n tiedottaja Stéphane Petitcolas osoitti, miten käyttäjät voivat saada hallinnan uudella asetustyökalulla rajoittamaan, miten sovellukset pääsevät kaikenlaisiin yksityisiin tietoja, aivan kuten Apple mahdollistaa käyttäjien hallita sijaintitietojen käyttöä. Apple ei ole nähnyt työkalua vielä, mutta INRIA harkitsisi koodin jakamista, jos yritys olisi kiinnostunut, sanoo tutkimusryhmän johtaja Claude Castelluccia.

iPhone-sovellusten ostajilla on vähän käsitystä siitä, mitä tietoja tai toimintoja heidän sovelluksilleen. Googlen Play Store näyttää, mitä tietoja ja toimintoja sovellus käyttää - mutta valinta on kaikki tai ei. BlackBerry-käyttöjärjestelmän vanhemmat versiot antavat käyttäjille vapaamman vapauden valita, mitkä API-sovellukset (sovellusohjelmointirajapinnat) antavat sovellukselle pääsyn sovelluksen rikkomisen varalta, mutta BlackBerry 10: ssä rakeinen hallinta on käytettävissä vain natiiviin sovelluksiin: Android-sovellukset valitsevat jälleen sen tai jättävät sen.

Apple on vauhdittanut käyttäjiään tällaista valvontaa. IOS 5: ssa ne voivat estää yksittäisiä sovelluksia pääsemästä sijaintiinsa ja iOS 6: ssa niillä on toinen vaihtoehto, koska Apple pyrkii poistamaan kehittäjät UDID: n avulla tunnistamaan käyttäjät ja kohdemainontaa.

Sen sijaan Apple haluaa, että kehittäjät käyttävät iOS 6: ssa käyttöön otettua mainostunnistetta. Tämä ei ole pysyvästi yhteydessä puhelimeen tai henkilöön, ja käyttäjät, jotka eivät halua seurata, voivat muuttaa sitä aina, kun he haluavat - niin kauan kuin he ajattelevat katso Asetukset / Yleistä / Tietoja / Mainonta pikemminkin kuin näkyvämpi Asetukset / Tietosuoja.

Tämä vaihtoehto ei ollut CNIL-INRIA-tutkimuksen osallistujien saatavilla, mutta teknisistä syistä tehtiin iOS 5: n avulla. seuraava tutkimusvaihe käyttää iOS 6: ta, nyt INRIA on päivittänyt seurantaohjelmaansa käyttämään uutta versiota.

Seurattaessa, miten sovellukset pääsivät yksityisiin tietoihin, INRIA joutui purkamaan iPhonea ja asentamaan erityisen sovelluksen Apple Sovellusliittymät, joiden kautta sovellukset pyytävät pääsyä yksityisiin tietoihin, sanoi INRIA-tutkija Vincent Roca. Tutkijat päättivät työskennellä iPhoneilla, koska heillä oli jo kokemusta iOS: n kehittämisestä.

INRIAn valvontasovellus tallensi jokaisen kuuntelupyynnön puhelimen tietokantaan sekä pyydetyt yksityiset tiedot niin, että ne ovat kehittäneet sovelluksen, jolla on samankaltaisia ​​ominaisuuksia Android-puhelimille. se voisi tunnistaa sen lähtevällä verkkoliikenteellä. IOS 5 -sovellus voi vain seurata salaamatonta verkkoliikennettä, mutta iOS 6: n versio voi nyt kytkeä verkko-sovellusliittymät ennen liikennettä salattuaan.

Sovellus välitti myös haastattelemia pyyntöjä keskeiselle palvelimelle tutkimusta varten - ilman

INRIA ja CNIL ovat vasta alussa analysoimaan kerättyjä tietoja kuudesta iPhonesta: 9 gigatavua, joka kattaa 7 miljoonaa yksityisyyttä tapahtumia kolmen kuukauden aikana.

Yksi asia, jonka tutkimus on jo paljastanut, on se, että yksityisten tietojen käyttö on vahingossa tapahtuvaa. App, joka tunnistaa lähimmän Pariisin uima-altaan (kaupunki on 38 noin 5 kilometrin säteellä) pääsee paikannustietoihin paljon enemmän kuin on tarpeen sen tehtävän suorittamiseksi, ilmeisesti ohjelmointivirheen vuoksi, CNIL: n Petitcolas sanoi.