חמישית מאפליקציות האנדרואיד פוגעות בפרטיות

קל ללחוץ על קישור ההתקנה של יישום, אך לא תמיד אפשר לדעת מה מסתתר מאחורי ההרשאות שהיישום דורש בעת ההתקנה. מחקר הראה שכ-20 אחוזים מהיישומים בחנות האפליקציות של אנדרואיד מפרות את פרטיות המשתמש

כולנו כבר יודעים, וממשיכים לשמוע כמעט מדי יום על השימוש שעושים במידע הפרטי שלנו – בפייסבוק, בגוגל, התבטאויות בטוויטר, כתיבה בבלוג, בפורומים ושאר האינפורמציה שאנחנו דואגים לפזר בלי לחשוב או עם לחשוב אל מי המידע הזה עלול להתגלגל. מעבר לאינפורמציה שאנחנו מפיצים ברשת, גם מכשירים שאנחנו משתמשים בהם באופן קבוע כמו הסמארטפונים שלנו, מאפשרים לאינפורמציה להשלח לגורמי צד-שלישי שאיננו רוצים בהכרח שמידע יגיע אליהם, אך אנחנו לא באמת יודעים שזה קורה.

מי (לא) עוקב אחרינו?

אחרי שכתבנו אתמול על השימוש שאפל עושה במידע אודות נתוני המיקום של משתמשי האייפון או כל מי שהוריד את מערכת ההפעלה iOS 4, הנה מגיע מידע חדש גם על המתחרה מבית גוגל – חברת אבטחת המידע SMobile טוענת כי הורדת אפליקציות לפלטפורמה הפתוחה אנדרואיד חושפת את המשתמשים לפגיעה בפרטיות על ידי גורמי צד שלישי.

אפשר לראות בגישה של שוק האפליקציות הפתוח יתרון גדול, בעיקר בהתחשב בקושי לפתח ולהצליח להכנס לשוק האפליקציות הסגור של אפל. אך עם זאת, העובדה שמדובר בשוק שהקהילה לבד מחליטה האם אפליקציה היא בטוחה ותכנס למאגר הופכת את השימוש בפלטפורמה למסוכנת למשתמשים.

הבעיה נוצרת למעשה מההרשאות שניתנות לאפליקציות השונות על ידי מערכת ההפעלה אשר מאפשרות מצד אחד ליזום שיחת טלפון, לשלוח SMS או לזהות את מיקום המכשיר ומשמשות לפיתוח של אפליקציות לשימוש הקהל הרחב, אך מצד שני מסוגלות לחשוף פרטים אישיים אחרים.

מודל האבטחה של אנדרואיד דורש שבמעמד התקנת האפליקציה יובהר למשתמש אילו הרשאות נדרשות לצורך הפעלת התוכנה המותקנת והמשתמש יכול לבחור האם להתקין את התוכנה או לא. אך אין לו דרך לדעת אם לא נעשה שימוש אחר בהרשאות הללו, והאפליקציה באמת לא מבצעת פעילות נוספת על זו המוצהרת.

הנתונים אשר התבססו על מחקר של חברת Smobile Systems שנעשה על יותר מ-48,000 אפליקציות שונות מראים כי 20 אחוזים מהיישומים מאפשרים לגורמי צד שלישי לגשת למידע רגיש או פרטי במכשיר, ו-5 אחוזים מהאפליקציות הללו מסוגלות למעשה לבצע פעולות כמו חיוג לכל מספר או שליחת SMS למספרים שונים ללא התערבות המשתמשים.

מיאו, אני יודע איפה אתה

אחת הדוגמאות שמוזכרות במחקר היא אפליקציה שנוצרה על ידי משתמש בשם Droid09 אשר הצהיר כי האפליקציה נועדה לבצע פעילות בנקאית באמצעות הטלפון, וזאת על ידי מתן גישה לאפליקציה להכנס לחשבון המשתמש. הצהרות מחד ומציאות מאידך – האפליקציה התגלתה כתוכנת דיוג (פישינג) שעד היום עדיין לא התגלה איזה שימוש נעשה בנתונים שהוקלדו כמו שם המשתמש והסיסמא.

דוגמא נוספת המוזכרת במאמר היא אפליקציה המאפשרת להשמיע קולות שונים של חיות באמצעות שתילה של קבצי wav על המכשיר כדי לנגן אותם בזמן לחיצה על דמות החיה. ההגיון אומר שאפליקציה כזו צריכה הרשאות לקרוא לקבצי ה-wav כדי לנגן אותם. אך במבט נוסף על ההרשאות שהאפליקציה דורשת, נתפלא למצוא גם מיקום GPS של המכשיר, או גישה לרשימת אנשי הקשר, או לרישום השיחות הנכנסות והיוצאות או אפילו לאפשר לה גישה לאינטרנט.

אתם מוזמנים להעשיר את הידע שלכם ולקרוא עוד על ההרשאות אשר עלולות לאפשר גישה למידע רגיש במסמך המלא :

Android Market Threat Analysis 6-22-10 v1

מורן בר

מייסדת ומנהלת החברה, יזמית בעלת נסיון רב שנים בתעשיית ההיי-טק עם רקע נרחב בתחום האחסון והתקשורת ובעולם המדיה החברתית. היתה שותפה למיזמי אינטרנט גדולים וביניהם אתר 2eat הישראלי. בוגרת ממר"מ ועו"ד העוסקת בתחום דיני הפרטיות וטכנולוגיה.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: