Otkriveno je da više od 1.000 aplikacija vam krade podatke, odnosno preuzimaju ih s mobilnog telefona, čak i ako ste im uskratili dozvolu

 

Da li je tačno da kad preuzimamo neku aplikaciju dajemo dozvolu za pristup informacijama/funkcijama mobilnog telefona i politici privatnosti samo za određene podatke ili damo više nego što želimo i puštamo da nam aplikacija krade podatke?

Istraživači koji se bave bezbjednošću su otkrili da se često događa mnogo veće preuzimanje podataka nego što su nas obavijestili.

Otkriveno je da više od 1.000 aplikacija preuzima podatke s mobilnog telefona, čak i ako ste im uskratili dozvolu. Na primjer, aplikacija za praćenje „onih dana“ kod žena podijelila je osjetljive podatke s Facebook-om, kao i s drugim kompanijama. Slično ovom slučaju, aplikacije kreirane za sprečavanje automatskih poziva podijelile su podatke korisnika s kompanijama koje se bave analitikom, navodi Cnet.

U svakom trenutku kada uređaj šalje podatke, promet i povezivanje se bilježe. Vaša lokacija se evidentira kada provjeravate vremensku prognozu, a ti isti podaci mogu biti poslati oglašivačima.

Istraživači imaju alat kojim vide takvu vrstu povezivanja. Oni ih zatim analiziraju kako bi shvatili koliko podataka se šalje i gdje. Obično je ovakva analiza prometa podataka na mreži omogućavala pogled na to što se događa na javnim Wi-Fi mrežama.

Međutim, posljednjih godina istraživači su analizu preselili na svoje mobilne telefone, da bi vidjeli koje podatke aplikacije uzimaju s mobilnog telefona korisnika i šalju dalje.

 

Zlatni rudnik za oglašivače

 

Kada su „zavirili“ unutra, ustanovili su da mnoge aplikacije šalju podatke koji premašuju ono na što su ljudi pristali.

„Na kraju, ostaje vam politika privatnosti koja je zapravo besmislena, jer ne opisuje šta se tačno događa. Jedini način da se odgovori na to pitanje je da se vidi šta aplikacija radi s tim podacima“, kaže Serž Egelman, direktor istraživanja bezbjednosti i privatnosti na Međunarodnom institutu za kompjutersku nauku (International Computer Science Institute).

Ponekad, podaci se samo prosleđuju oglašivačima, koji misle da mogu da ih koriste za prodaju proizvoda. Podaci o lokaciji telefona takođe mogu da budu „zlatni rudnik“ za oglašivače, kako bi znali gde se ljudi nalaze u određenim razdobljima.

A isto tako, podaci dobijeni preko aplikacija mogu da idu i državnim službama koje koriste tehnologiju da istražuju informacije o ljudima. Nedavno, The Wall Street Journal je otkrio da državne službe koriste takve podatke da bi pratile imigrante.

Ovi istraživači otkrivaju skriveni svijet praćenja podataka, što podiže zabrinutost koliko zapravo ljudi daju informacija o sebi, a da toga nisu ni svesni.

 

Praćenje lokacije

 

Vil Strefeč je prvi počeo da se bavi analizom prometa na mreži 2017. godine, dok je radio u jednoj kompaniji, koja se bavi sigurnošću na telefonima, a čiji je i suosnivač.

Čak i kada je GPS isključen na telefonu, Strefeč je otkrio „rupe“ koje omogućavaju praćenje podataka, kao što je prikupljanje informacija o lokaciji kada je mobilni telefon povezan na Wi-Fi mrežu.
Veličina problema je izašla na videlo kada je otkriveno da AccuWeather, popularna aplikacija za vremensku prognozu, šalje podatke o lokaciji korisnika, čak i kada je opcija za dijeljenje lokacije isključena.

Prema rečima Strafacha, to je za njega tada prešlo granicu od „ovo je problem“ do „ovo mora odmah da prestane“. AccuWeather nije odgovorio na zahtjev za komentar.

Ustanovio je da skriveno praćenje lokacije, kao što je kod AccuWeathera, predstavlja jedan od najvećih problema privatnosti kod aplikacija. Ljudi daju dozvolu aplikacijama za svrhu koja im je potrebna, kao što je pronalazak najjeftinije benzinske stanice u okolini, ali ne shvataju da se u pozadini informacije dele s brokerima podataka.

 

Godinu dana kasnije – ništa se nije promenilo

 

Za razliku od malware-a, zlonamjernih softvera, koje Strefeč takođe istražuje, ove aplikacije su dopuštene u Google i Apple radnjama, a u nekim slučajevima dolaze već instalirane, s telefonom. Zato je istraživanje ovih aplikacija postao novi fokus za Strefeča.

Često nije riječ samo o jednoj aplikaciji. Riječ je o načinu kako su povezani, o skrivenoj mreži podataka u kodu koja im pomaže da izgrade sveobuhvatnu sliku o nekome i šta on radi. Iako kompanije tvrde da su podaci anonimni, potrebno je malo napora kako bi se utvrdilo ko je osoba, a na osnovu lokacije, vremena i aktivnosti koje mogu da se prikupe.

Na Međunarodnom institutu za kompjutersku nauku na Univerzitetu u Berkliju, Serž Egelman vodi tim od oko 10 istraživača u laboratoriji, u kojoj koristi više prilagođenih Android telefona programiranih za pretraživanje novih aplikacija u Google Play radnjin i otkrivanje podataka koje svaka aplikacija uzima s uređaja.

Njihov alat traži nove aplikacije i dodaje ih u bazu podataka, a one se u bazi provjeravaju svake dvije nedjelje da bi se utvrdilo jesu li im dodati novi softveri za praćenje. Egelman je 2019. objavio istraživanje u kojem je opisano kako oko 17.000 Android aplikacija kreira trajni zapis aktivnosti uređaja. Više od godinu dana kasnije, kako kaže, ništa se nije promenilo.

 

Kako da se zaštitimo?

 

Jedino što za sada možemo da učinimo je da ne preuzimamo aplikacije koje ovo rade. Egelman je uzeo svoj alat iz istraživanja i pretvorio ga u metodu koju ljudi mogu da koriste kako bi proverili aplikacije koje imaju na svojim uređajima.

Naravno, on ne očekuje da će svaka osoba odjednom naučiti kako da analizira mrežni promet, niti ljudi to žele.

„Ako je potreban tim istraživača koji pišu svoje softvere i istražuju mrežni promet da bi shvatili o čemu se tačno radi, svakako nije razumno očekivati da će prosječni potrošač da uradi isto. Umjesto toga, potrebne su nadzorne grupe i regulatorna tela. Oni treba to da rade, a ne potrošači“, kaže Egelman.

On je ponudio svoj alat preko aplikacije koja se zove AppCensus, a koja omogućava korisniku pretraživanje aplikacija i uvid koji su podaci poslati i koji se šalju. Tim takođe radi na aplikaciji koja će upozoriti vlasnika telefona kad god se identifikacioni podaci šalju softverima za praćenje.

Za preuzimanje je dostupan i alat CharlesProxy, koji radi presretanje mrežnog prometa i s kompjutera i s mobilnog uređaja.

Vil Strefeč kaže da njegova kompanija radi na ažuriranju bezbjednosne aplikacije koja će da obaveštava ljude kad god neka aplikacija uzme više podataka s telefona nego što je trebala.

(B92)

 

Dopadaju vam se tekstovi na IT-mixer.com? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.