И популярное фитнес-приложение не единственное. Другие приложения также могут подвергать вашу информацию опасности.
Группа исследователей, возглавляемая Дэвидом Чоффнесом, доцентом колледжа компьютерных и информационных наук, обнаружила «обширную» утечку информации пользователей — идентификаторов устройств и пользователей, местоположения и паролей — в сетьрабочий трафик из приложений на мобильных устройствах, включая iOS, Android и Winтелефоны dows.
Исследователи также нашли способ остановить поток.
Чоффнес представит свои выводы на конференции Data Transparency Lab 2015, которая состоится в Media Lab Массачусетского технологического института.
В своей лаборатории в Северо-Востоке Чоффнес и его коллеги разработали простую и эффективную облачную систему под названием ReCon с полным набором трех функций: обнаруживает утечки «личной информации» или PII; он предупреждает пользователей об этих нарушениях; и это позволяет пользователям контролировать утечки, указав, какую информацию они хотят заблокировать и от кого.
«Наши устройства действительно хранят на себе все, что о нас: наши контакты, местонахождение и достаточно информации, чтобы идентифицировать нас, потому что каждое устройство имеет встроенный уникальный идентификационный номер», — говорит Чоффнес.
«Большой объем сетевого трафика, который передается туда и обратно, не защищен шифрованием или другими средствами», — объясняет он. Что может быть нормально, когда вы отправляете свой адрес электронной почты в приложение, чтобы, возможно, подписаться на его информационную рассылку.
Но не когда вы вводите свой пароль.
«Что действительно беспокоит, так это то, что мы даже видим значительное количество приложений, отправляющих ваш пароль в виде открытого текста, когда вы входите в систему», — говорит Чоффнес.
В общедоступных настройках Wi-Fi это означает, что любой, кто запускает «довольно простое программное обеспечение», может его перехватить.
Исследование Forrester Research, проведенное в июне 2015 года, показало, что пользователи смартфонов тратят более 85 процентов своего времени на приложения.
Но мало исследований проводилось по сетевому трафику приложений, потому что операционные системы мобильных устройств, в отличие от ноутбуков и настольных компьютеров, так сложно взломать.
Шоффнес изменил это. В его исследовании участвовал 31 пользователь мобильных устройств — вместе у них было 24 устройства iOS и 13 устройств Android — которые использовали ReCon в течение периода от одной недели до 101 дня, а затем отслеживали свои личные утечки через защищенную веб-страницу ReCon.
Результаты были тревожными. «К сожалению, даже в нашем небольшом пользовательском исследовании мы обнаружили 165 случаев утечки учетных данных в виде обычного текста», — пишут исследователи.
Из 100 лучших приложений в магазине приложений каждой операционной системы, которые использовали участники, более 50 процентов утечки идентификаторов устройств, более 14 процентов утечки фактических имен или других идентификаторов пользователей, 14-26 процентов утечки местоположений и трех утечек паролей в виде простого текста. В дополнение к этим лучшим приложениям, исследование обнаружило аналогичные утечки паролей из 10 дополнительных приложений, которые участники установили и использовали.
Помимо Map MyRun, приложения для утечки паролей включали языковое приложение Duolingo и индийское приложение для цифровой музыки Gaana. Все три разработчика с тех пор устранили утечки.
Несколько других приложений продолжают отправлять пароли в виде простого текста в трафик, в том числе популярное приложение для знакомств.
По словам Чоффнеса, использовать ReCon просто. Участники устанавливают на свои устройства виртуальную частную сеть или VPN — простой процесс из шести или семи шагов. Затем VPN безопасно передает данные пользователей на сервер системы, на котором запускается программное обеспечение ReCon, определяющее, когда и какая информация происходит утечка.
Чтобы узнать статус своей информации, участники просто войдут на защищенную веб-страницу ReCon. Там они могут найти такие вещи, как булавка на карте Googleуказывая, какие из их приложений работаютпинговать свое местоположение в другие места назначения и какие приложения передают свои пароли в незашифрованный сетевой трафик.
Они также могут сообщить системе, что они хотят с этим делать.
«Одним из преимуществ нашего подхода является то, что вам не нужно сообщать нам свою информацию, например пароль, адрес электронной почты или пол», — говорит Чоффнес. "Наша система предназначена для использования сигналов в сетевом трафике, чтобы выяснить, какая информация утекает.
Затем программное обеспечение автоматически извлекает то, что, по его мнению, является вашей личной информацией. Мы показываем эти результаты пользователям, и они говорят нам, правы мы или нет. Это позволяет нам постоянно адаптировать нашу систему, повышая ее точность."
Такой подход сдержек и противовесов работает: оценочное исследование команды показало, что ReCon выявляет утечки с точностью 98%.
Приложения, как и многие другие цифровые продукты,программное обеспечение, которое отслеживает наши приходы и уходы, а также подробную информацию о том, кто мы. Действительно, если вы посмотрите в настройках конфиденциальности на своем iPhone, вы увидите следующее заявление: «Когда приложения запрашивают доступ к вашим данным, они будут добавлены в категории выше.«Эти категории включают« Службы геолокации »,« Контакты »,« Календари »,« Напоминания »,« Фото »,« Синий »Совместное использование зубов »и« Камера ».’
Хотя многие пользователи этого не осознают, у них есть контроль над этим доступом. «Когда вы устанавливаете приложение на мобильное устройство, оно запрашивает у вас определенные разрешения, которые вы должны утвердить или отклонить, прежде чем вы начнете использовать приложение», — объясняет Чоффнес. "Поскольку я немного помешан на конфиденциальности, я даже избирательно выбираю, каким приложениям сообщать свое местоположение."Для навигационного приложения, — говорит он, — хорошо.
Для других все не так однозначно.
Одна из причин, по которой приложения отслеживают вас, конечно же, — это то, что разработчики могут возместить свои затраты.
Многие приложения бесплатны, а программное обеспечение для отслеживания, предоставляемое рекламными и аналитическими сетями, приносит доход, когда пользователи нажимают на целевые рекламные объявления, которые появляются на их телефонах.
ReCon, единственный среди инструментов наблюдения за приложениями, забирает контроль из рук рекламодателей и возвращает его вам.
«Есть и другие инструменты, которые покажут вам, как вас отслеживают, но они не обязательно позволят вам что-либо делать», — говорит Чоффнес. "И они в основном ориентированы на отслеживание поведения, а не на фактическую личную информацию, которая отправляется. ReCon охватывает широкий спектр информации о вас, передаваемой по сети, и автоматически обнаруживает утечку вашей информации без необходимости заранее знать, что это за информация.
"Наконец, чего я больше нигде не видел, так это возможности защиты вашей личной жизни: вы можете установить политики, чтобы изменить способ разглашения вашей информации."