Video: Så nemt stjæler kriminelle din identitet (Oktober 2024)
Nogle skatteapparater og relaterede finansieringsapps til Android og iOS indsamler og deler muligvis brugerdata unødigt. Har du nogen af disse apps på din mobile enhed?
Appthority analyserede flere skattemæssige økonomiske styringsapps til Android- og iOS-enheder og identificerede en håndfuld risikofyldt opførsel, herunder sporing af brugernes placering, adgang til kontaktlisten og deling af brugerdata med tredjepart, fortalte Domingo Guerra, præsident og grundlægger af Appthority, til SecurityWatch.
Mange af apps sender brugerdata som placering og kontaktoplysninger, der trækkes fra adressebogen til tredjeparts annoncenetværk, fundet Appthority. Det meste af kommunikationen med annoncenetværkene var tilfældigvis i klar tekst. Mens det gav mening for H&R Block-appen at have adgang til brugerens placering, da appen giver brugerne mulighed for at finde den nærmeste butik, var det "ikke rigtigt klart, hvorfor" de resterende apps havde brug for denne information.
"Resten deler bare denne placering med annoncenetværk, " sagde Guerra.
Listen over apps inkluderede "store navn skat apps og nogle mindre nykommere" såsom H&R Block TaxPrep 1040EZ og de fulde H&R Block apps, TaxCaster og My Tax Refund fra Intuit (firmaet bag TurboTax), Income Tax Calculator 2012 fra en udvikler navngivet SydneyITGuy og Federal Tax 1040EZ fra RazRon, sagde Guerra. Appthority udførte sin analyse ved hjælp af sin egen automatiserede mobilapprisikostyringstjeneste.
Svag til ingen kryptering
Apps havde generelt svag kryptering og valgte selektivt at beskytte noget af datatrafikken i modsætning til at kryptere al trafik, fandt Appthority. Et par af apps - Guerra specificerede ikke hvilke - brugte forudsigelige krypteringscifre i stedet for at udnytte krypterings randomiseringsmaskiner. "Ingen navn" -apps, såsom den fra RazRon, brugte overhovedet ikke kryptering.
En af apps med store navn inkluderede filstier til kildekoden i dens fejlfindingsoplysninger i eksekverbar. Filepaths inkluderer ofte brugernavne og anden information, der kan bruges til at målrette app-udvikleren eller virksomheden, sagde Appthority. Igen identificerede Guerra ikke appen ved navn.
Mens "det generelt ikke er en større risiko for at lække disse oplysninger, " "skal de om muligt undgås, " sagde Guerra.
Udsættelse af data
Nogle af apps tilbød en funktion, hvor brugeren kunne tage et billede af W2, og billedet blev derefter gemt i enhedens "kamerarulle", fundet Appthority. Dette kan være et alvorligt problem for brugere, der automatisk uploader eller synkroniserer med skytjenester som iCloud eller Google+, da billedet gemmes på usikre placeringer og potentielt udsættes.
Både iOS- og Android-versionerne af H&R Block 1040EZ-appen brugte annoncenetværk som AdMob, JumpTab og TapJoyAds, men den fulde version af H&R Block-appen viser ikke annoncer, bemærkes Appthority.
iOS vs Android
Der var ikke mange forskelle i de typer af risikabel opførsel mellem iOS- og Android-versioner af den samme app, sagde Guerra. De fleste af forskellene kogte ned til, hvordan operativsystemet håndterer tilladelser. Android kræver, at appen skal vise alle tilladelser, før brugeren kan installere og køre appen i en alt-eller-intet-tilgang. I modsætning hertil beder iOS om tilladelse, når de opstår. For eksempel har iOS-appen ikke adgang til brugerens placering, før brugeren forsøger at bruge butikens lokaliseringsfunktion.
I henhold til de nyeste regler forbyder iOS 6 appudviklere fra at spore brugere baseret på deres enheds-ID og UDID- eller EMEI-numre. Denne praksis er stadig almindelig blandt Android-apps. IOS-versionen af H&R Block 1040EZ-appen sporer ikke brugeren, men Android-versionen af den samme app gør ved at indsamle den mobile enheds-ID, den mobile platformopbygning og -versionsinformation og den mobile enheds abonnent-ID, sagde Guerra.
Den fulde H&R Block-app på Android-anmodninger og er i stand til at få adgang til en liste over alle andre apps, der er installeret på enheden. IOS-versionen af appen har ikke adgang til disse oplysninger, fordi operativsystemet ikke tillader dette.
Risici eller ej?
Der er intet specifikt risikabelt på dette tidspunkt, disse apps sender ikke adgangskoder og økonomiske poster i klar tekst. Det er dog stadig, at apps deler unødvendigt brugerdata. Med undtagelse af en app tilbød ingen af de andre apps en butikslokalitetsfunktion. Hvorfor har disse andre apps derfor brug for adgang til brugerens placering? Hvorfor har disse apps brug for adgang til brugerens kontakter? Det synes ikke nødvendigt for at forberede skatter.
Appthority kiggede på nogle gamle apps "for at bevise et punkt, " sagde Geurra. Mange af disse apps har en udløbsdato, f.eks. Skatte-apps fra 2012 - hvor brugere forventes ikke længere at bruge det, når de er færdige med at bruge det.
Disse "engangsapps" trækkes sjældent fra markedet, og brugerne skal være opmærksomme på, at disse apps har adgang til data på brugerens enheder.
