Ждите...
Спасибо.
Закрыть

Приложения для iOS и адресная книга: какие аппы не стесняются «сливать» ваши данные

21.02.2012 0:31

-  555
Приложения для iOS и адресная книга: какие аппы не стесняются «сливать» ваши данные

Вашей информацией свободно манипулируют едва ли не все iOS-приложения: от Angry Birds до Instagram

На прошедшей неделе в мире iOS-приложений разразился очередной скандал, связанный с утечками пользовательских данных. В эпицентре стоял сервис Path, чье приложение старательно и без разрешения выгружало адресную книгу iPhone, чтобы "найти друзей", с которыми вы, возможно, захотели бы связаться. Представители Path уже принесли свои извинения и обновили приложение, но глобальная проблема от этого никуда не делась: сторонние программы действительно имеют доступ к большому объему ваших данных и могут отправлять их куда угодно, не спрашивая разрешения. Что произойдет дальше, зависит от разработчика: он может использовать данные для благих целей, а может и нет — никаких гарантий никто никому не дает.

Факт нарушения Path политики конфиденциальности обнаружил Арун Тампи и, используя его метод, мы решили исследовать несколько популярных приложений под iOS, чтобы определить, какие из них отправляют данные, и ставят ли они об этом в известность пользователя.

 Методология

Чтобы определить, загружает ли приложение ваши данные на удаленный сервер, нужно проследить за исходящим трафиком. К счастью, Тампи предложил для этого относительно простой способ: нужно установить на компьютер специальную программу, например, mitmproxy, которая следит за входящими и исходящими данными, и подключить iPhone к Сети так, чтобы все данные отправлялись через нее, а не напрямую по Wi-Fi или 3G.

Хорошая новость: практически все приложения отправляют данные в зашифрованном виде, используя защищенное соединение HTTPS. Кроме того, в большинстве случаев данные отправляются по методу post и только в некоторых — по get, который эквивалентен набору URL-адреса в браузере. По крайней мере, только в одном случае мы столкнулись с приложением, отправляющим незащищенные данные по get (мы говорим о приложении Hipster, которое, впрочем, было оперативно обновлено).

Используемый нами способ слежения за данными довольно трудоемкий, поскольку требует изучения каждого "куска" исходящей информации. Кроме того, иногда мы не можем отследить все, что отправляется: например, приложение Dragon Dictation предупреждает, что оно загружает имена контактов для лучшего транскрибирования, но мы не увидели, чтобы эти данные проходили через порт.

 

Вопиющие нарушители

Худшим развитием сценария является ситуация, когда приложение загружает данные вашей адресной книги, не оповещая о своих действиях. До своего обновления Path определенно попадал в эту категорию "вопиющих нарушителей". Аналогичная проблема наблюдалась с Hipster. Но Hipster заслуживает дополнительной дозы презрения, потому что он направлял свою информацию через небезопасный HTTP по методу get — по сути, выложив большую часть вашей адресной книги в URL-адресе. А эти адреса, как мы помним из истории с Carrier IQ, могут отслеживаться вашим оператором.

 

Частично виновные

В этот список попали те приложения, которые отдают адресную книгу только тогда, когда вы просите об этом. Эти приложения могут быть разделены на две группы: которые "четко предупреждают" о том, что собираются загрузить информацию, и те, в которых вы просто нажимаете на элемент, гласящий нечто вроде "Поиск друзей". В обоих случаях пользователь сам инициирует процесс загрузки, однако, остается в неведении относительно того, загружается ли его адресная книга целиком и что с ней происходит дальше.

Foodspotting

Twitter, Facebook, LinkedIn и другие "социальные" приложения — примеры аппов, работающих по этому алгоритму. В каждом конкретном случае пользователю необходимо нажать кнопку, чтобы подтвердить свое действие. Неадекватнее всего ведет себя приложение Foodspotting. Хотя оно и не отправляет информацию из адресной книги до тех пор, пока вы не нажмете на кнопку Follow People, передача списка почтовых адресов ваших друзей никак не шифруется. Разработчики пообещали исправить это недоразумение в следующей версии программы.

Еще одна категория приложений, отдающих ваши данные после нажатия на кнопку сомнительного предназначения, — игры. В частности, те, которые подключаются к Crystal — игровому серверу Chillingo: это и Angry Birds, и Cut The Rope. Несмотря на то, что эти приложения отправляют данные с разрешения пользователя, не совсем понятно, что происходит с ними впоследствии. Сохраняются они или нет, передаются третьим лицам или нет, используются для анализа или нет. К тому же крайне маловероятно, что разработчики делают хоть что-нибудь для "анонимизации" поступающей информации. Подавляющее большинство приложений, которые мы проверили — не важно, загружают ли они вашу адресную книгу или нет — отправляют идентифицирующую информацию вашего iPhone, в том числе UDID, а во многих случаях даже имя смартфона, которое вы вводите в iTunes при его установке. Короче говоря, разработчики этих приложений получают довольно хорошее представление о том, как вас зовут и с кем вы знакомы.

 

Амнистированные

В следующую группу входят приложения, которые явно предупреждают вас о намерении загрузить адресную книгу. Правда, многие из них начали выводить это предупреждение только после скандала с Path. К этой группе уже относится упомянутый Hipster, а также Instagram и Instapaper. Хотя всплывающие уведомления могут раздражать пользователей (и утомит их до такой степени, что они будут нажимать OK абсолютно на все), такое поведение должно быть нормой.

 

Невиновные

Существует одна компания, которая сделала для защиты пользователей от несанкционированной загрузки адресных книг больше, чем кто-либо другой, и ее имя может вас удивить — это Facebook. Компания, которую любят высмеивать (и во многих случаях вполне справедливо) за нечестность и безответственность по отношению к пользователям, неожиданно стала рыцарем на белом коне.

Причина довольно проста: множество приложений сейчас используют Facebook для поиска друзей пользователя. Вместо того чтобы самим загружать и сопоставлять информацию из адресной книги, разработчики предпочитают использовать возможности Open Graph. В этом смысле поощрительной премии достоин и Twitter, поскольку его также используют для аутентификации и поиска друзей.

Существует удивительно большая коллекция приложений, которые, по всей видимости, тоже не загружают информацию из адресной книги, хотя мы от них этого ожидали. Pinterest, Skype, Flipboard, Shazam, Pandora, RDIO, Meebo, Netflix, Google+, Skype, TripIt и Color — все они являются примерами программ, которые кажутся нам "чистыми" (или мы просто не смогли отследить их активность).

 

Политика запретов провалилась, настала пора технических решений

Важно отметить одну немаловажную вещь. Решение проблемы защиты данных не может и не должно целиком лежать на Apple. Компания и так сделала все возможное — в соглашении, которое заключает разработчик при загрузке приложения в AppStore, содержатся два пункта:

17.1. Приложения не могут передавать данные о пользователе, не получив предварительного разрешения пользователя и не предоставив пользователю доступа к информации о том, как и где эти данные будут использованы.
17.2. Приложения, которые требуют от пользователей делиться личной информацией, такой как адрес электронной почты и дата рождения, для последующего использования будут отклонены.

Тем не менее, даже у Apple не хватает рук, чтобы отследить все — это было наглядно продемонстрировано Path, Hipster, Foursquare и другими. Положения, изложенные в соглашении, не являются полномасштабным решением проблемы. Существует, однако, техническое решение, которое разработчики приложений могут использовать прямо сейчас. Оно состоит в том, чтобы делать информацию из адресной книги анонимной до того, как ее загрузят, используя специальные алгоритмы. Это умный и приемлемый вариант, хотя и требующий участия разработчиков.

Другим вариантом решения проблемы является принятие почти полной монополии Facebook на "рынке социальных связей". Хотя на данный момент этот вариант является прагматичным, в будущем было бы логичнее найти иной способ формирования связей, не требующий передачи наших данных Марку Цукербергу.

Apple среагировала на ситуацию с "утекающими" данными довольно оперативно. В будущем апдейте iOS будет реализована система уведомлений о том, что приложение собирается передать кому-то вашу адресную книгу. Но это решение остается половинчатым, поскольку мы так и не узнаем, как и с какой целью разработчики приложений будут использовать данные.

Источник

0
Уважаемые, гости, если Вам понравилась или наоборот не понравилась новость, оставьте, пожалуйста, Ваш комментарий. Регистрация не займет у Вас времени, Ваше мнение важно для нас. Большое спасибо за Ваше внимание!
Добавить комментарий
Причина жалобы:   

Комментарии к новости (0)

Пока нет комментариев к новости. Вы можете быть первым




Популярные новости

26.09.2013 9:27 - солдат

Откуда пошло выражение...

Источник: Давайте вместе разберемся откуда эти выражения пришли в нашу жизнь. Вашими молитвами. Это разговорное шутливое выражение говорится в ответ на вопрос "Как поживаете?" или "Как ваше здоровье?" - в значении "спасибо, ничего" как выражение благодарности за участливое отношение.

06.07.2013 7:13 - smeshinka

Су-35 против F-35: дядя избивает дубинкой ребенка

Источник: Является ли наиболее скрытный американский боевой самолет F-35 легкой добычей истребителя Су-35? Некоторые считают, что это совершенно верное утверждение, пишет indrus.in 26 июля.

20.12.2013 8:18 - 555

Фильм "Ликвидация": что осталось за кадром

Источник: Ретротелефильм "Ликвидация" с Владимиром Машковым в роли одесского опера Давида Гоцмана стал одной из главных удач на поприще российских сериалов. Критики ставят "Ликвидацию" в один ряд

26.09.2013 9:32 - солдат

Откуда пошло выражение...(продолжение)

Источник: Это шутливое выражение употребляется, когда хотим сказать, что мужа сейчас нет. Происхождение этой фразы точно до конца так и не выяснено. Одни знатоки языка утверждают, что это просто шутливая рифмовка, как например "ну - баранки гну".

09.09.2012 16:16 - солдат

Подготовка разведчика: система спецназа ГРУ

Источник: Пособие по подготовке военных разведчиков, действующих за линией фронта, в глубоком тылу врага, впервые выходит в открытой печати на русском языке. Его авторы, в прошлом бойцы спецназа ГРУ, дают здесь рекомендации

05.03.2014 11:04 - советский солдат

Родовая фамилия Юлии Тимошенко - Капительман

Источник: Настоящая родовая фамилия премьер-министра Украины Юлии Тимошенко - Капительман. Такие данные обнародовал на пресс-конференции в Киеве сегодня, 1 октября, бывший соратник

17.09.2016 9:10 - next

Как продвинуть свой сайт в интернете?

Источник: Самым трудоемким считается не само создание сайта. А вот продвижение и раскрутка своих страниц потребует намного больше сил и времени вебмастеров. И от таких затрат напрямую зависит популярность.

19.11.2017 9:17 - Сокол

26-летняя генеральша станет лицом Минобороны

Источник: 26-летняя российская телеведущая Россияна Марковская назначена на должность пресс-секретаря министра обороны РФ Сергея Шойгу, сама Марковская информацию подтвердила. Марковская родилась

20.09.2012 22:55 - солдат

Занимательная фармакология

Источник: "ЯДИБИЛ" — последнее достижение немецкой фармакологии. Ни один лекарственный препарат прежде настолько не влиял на работу головного мозга как "Ядибил". Это лучший друг молодежи, в первую очередь тех, кто не хочет идти служить в армию.

05.04.2012 15:14 - endruse

Все самое-самое на планете

Источник: Интерес людей ко всему самому-самому прослеживается на протяжении всей истории человечества.

28.07.2013 9:45 - 100/500

Павел Глоба: О будущем России

Источник: Он знает ответы на любые вопросы: что было, что будет и чем сердце успокоится? Причем частности не так важны. Назвался же Глобой - вот и мыслит глобально, в масштабах, так сказать, всей страны. И даже шире! Чернобыль, распад СССР, теракт 11 сентября в Америке, войны в Ираке и Ливии...

21.08.2012 7:33 - 100/500

Где еще живут "дикие" люди

Источник: Люди, о которых пойдёт речь в этой статье, умудряются игнорировать цивилизованный мир и жить так, будто на целом свете кроме них никогда никого и не было...Племя сентинельцев обосновалось на Северном Сентинельском острове

29.12.2022 8:37 - 555

Алена Полынь: каким будет 2023 год

Источник: Каким будет 2023 год, волнует сейчас каждого. По уже доброй традиции мы спросили о событиях 2023 года у всемирно известной ведьмы Алены Полынь. Ведь именно Алена Полынь всегда четко предсказывает грядущие события. Игры политиков на мировой арене, которые мы видим в новостях, ковид и многое другое были предсказаны Аленой Полынь заблаговременно. Очень уж хочется хороших событий! Что же о годе 2023-м известно провидице? - Алена, спасибо, что любезно согласились рассказать нашим читателям о грядущем 2023 годе. Чего ждать? Чего опасаться? Будет ли что-то хорошее? - Мы с вами живем в период колоссальных перемен, и безболезненными они быть не могут. Цикл начал год Крысы: именно этот зверек - самый хитрый и расчетливый - подготовил почву для перемен. Если же говорить о Тигре, то он, несомненно, хищник

26.01.2012 13:13 - ёжик в тумане

Экстрасенс и целительница Джуна Давиташвили

Источник: Экстрасенс Джуна Давиташвили родилась в 1949 году в небольшом селе Урмия (Краснодарский край). В детстве девочка упала в колодец, где просидела около получаса. Маленькая Женя чудом оказалась жива и невредима.

19.05.2018 10:26 - next

Как пошить шторы под заказ?

Источник: Вот вы решили что-то изменить в своём доме. А именно заказать пошив штор для своих окон, обновить или впервые взяться за это неизведанное пока для вас дело. Скорее всего, вы об этом практически ничего не знаете - не каждый же день шьём шторы.

09.05.2013 20:07 - 100/500

Интересные факты о Второй Мировой войне

Источник: Операция по высадке союзных войск в Нормандии в июне 1944 года готовилась в условиях строгой секретности. Незадолго до неё британская разведка была сильно озадачена кроссвордами в газете Telegraph, в которых то и дело появлялись кодовые слова операции. Среди них были Utah и Omaha —

Вход

Заполните поле
Заполните поле
закрыть