Trang Chủ Đồng hồ an ninh Mô hình cấp phép Android hút so với apple ios '

Mô hình cấp phép Android hút so với apple ios '

Video: How to Transfer Contacts from Android to iPhone (Fast and Easy) (Tháng mười một 2024)

Video: How to Transfer Contacts from Android to iPhone (Fast and Easy) (Tháng mười một 2024)
Anonim

Chúng tôi từ bỏ khá nhiều bảo mật và quyền riêng tư khi chúng tôi tải xuống ứng dụng từ App Store và Google Play của Apple. Chúng tôi hiếm khi dừng lại để xem xét kỹ lưỡng những gì ứng dụng đang làm trên thiết bị của chúng tôi và với dữ liệu của chúng tôi và quên rằng các nhà phát triển không ưu tiên quyền riêng tư của người dùng khi xây dựng ứng dụng.

"Điều mà tôi không nghĩ mọi người nhận ra chúng tôi không phải là khách hàng cho các ứng dụng miễn phí này. Các nhà quảng cáo là", Michael Sutton, phó chủ tịch nghiên cứu bảo mật của Zscinger, nói với Security Watch.

Các nhà phát triển đang suy nghĩ về những gì các nhà quảng cáo muốn khi xây dựng các ứng dụng này và đó là thông tin về người dùng và khả năng theo dõi hoạt động của người dùng, Sutton nói. Vì vậy, khi nói đến quyền ứng dụng, không có gì ngăn cản các nhà phát triển yêu cầu nhiều hơn mức họ cần. Hầu hết mọi người không đọc danh sách quyền trước khi chấp nhận tất cả để cài đặt ứng dụng và mọi người thường không phàn nàn nếu ứng dụng dường như yêu cầu quá nhiều. Có những trường hợp các nhà phát triển yêu cầu quyền bất kể họ có thực sự cần chúng hay không.

Trên thực tế, "không có sự không tôn trọng đối với họ là không, đặc biệt là về phía Android của ngôi nhà", Sutton nói.

Kết quả nghiên cứu ZScaler

Các nhà nghiên cứu từ Zscaler ThreatLabz đã phân tích 550 ứng dụng iOS và 75.000 ứng dụng Android để hiểu cách hai hệ điều hành di động tiếp cận quyền riêng tư và bảo mật. Trong phân tích tĩnh, nhóm đã tìm kiếm các trường hợp thực tế trong mã nơi các hàm yêu cầu mức truy cập cụ thể được gọi. Bằng cách này, họ có thể xác minh rằng chức năng thực sự đang sử dụng quyền mà nó đã yêu cầu.

Các phát hiện này khá sâu sắc và hấp dẫn, chẳng hạn như hơn 60 phần trăm ứng dụng iOS trong danh mục "Trò chơi và Giải trí" yêu cầu cấp phép cho các chức năng điện thoại và vị trí địa lý. Zscaler gọi phát hiện này là "rắc rối", lưu ý rằng gần đây đã có báo cáo về các ứng dụng gián điệp hoạt động của người dùng. Con số đó cao hơn đối với các ứng dụng Phong cách sống, với 81% chức năng yêu cầu. Nhìn chung, 34 phần trăm ứng dụng iOS đã yêu cầu quyền truy cập vào sổ địa chỉ, 83 phần trăm quyền truy cập email được yêu cầu và 46 phần trăm có thể đọc lịch của người dùng.

"Với 97 phần trăm ứng dụng sử dụng ít nhất một trong số các chức năng được theo dõi (sổ địa chỉ, điện thoại, địa điểm, lịch email hoặc UUID), như đã nêu, chúng tôi đang bị tiêu thụ nhiều, nếu không, nhiều hơn chúng ta tiêu thụ", Zscaler viết trên blog.

Về phía Android, Zscaler nhận thấy 68% ứng dụng yêu cầu quyền SMS yêu cầu khả năng gửi tin nhắn SMS. Đây là điều đáng lo ngại, khi xem xét mức độ phổ biến của gian lận SMS và spam lừa người dùng gửi tin nhắn đến các số cao cấp. 28 phần trăm ứng dụng có quyền SMS cũng yêu cầu khả năng đọc tin nhắn SMS. Đây cũng là một lĩnh vực quan tâm khác khi bạn xem xét số lượng trang web ngân hàng di động và các dịch vụ khác gửi mã qua SMS để xác thực hai yếu tố hoặc để xác nhận các giao dịch cụ thể. "Đó là một sự cho phép rất rủi ro khi cấp một ứng dụng", Sutton nói, lưu ý rằng Apple thậm chí không cấp quyền này.

Điều tốt là hiện tại, ít hơn 10 phần trăm các ứng dụng hiện đang yêu cầu quyền SMS. Nhưng vẫn.

Trong số các ứng dụng Android được phân tích, Zscaler nhận thấy 36 phần trăm yêu cầu thông tin vị trí và 46 phần trăm yêu cầu sự cho phép của nhà nước điện thoại, cho phép các ứng dụng truy cập thông tin thẻ SIM và số nhận dạng IMEI duy nhất của điện thoại.

"Đó là một sự cân bằng tinh tế giữa những gì chúng tôi sẵn sàng từ bỏ để đổi lấy một ứng dụng miễn phí", Sutton nói.

Android khiến người dùng gặp nhiều rủi ro hơn

Vấn đề lớn nhất, theo như Sutton có liên quan, là việc Android không cung cấp cho người dùng bất kỳ quyền kiểm soát nào đối với các quyền mà ứng dụng có thể có. "Tôi không phải là một fan hâm mộ của mô hình tất cả hoặc không có trong Android, " Sutton nói, gọi nó là "nguy hiểm."

Thật đáng buồn, vì Android thực sự đi xa hơn iOS trong việc cung cấp cho các nhà phát triển mức độ kiểm soát rất chi tiết. Tuy nhiên, mức độ kiểm soát đó không tự chuyển sang ứng dụng, vì nếu người dùng không thích một quyền cụ thể mà ứng dụng đang yêu cầu, thì người dùng không thể cài đặt ứng dụng. Mặt khác, Apple cài đặt ứng dụng iOS và sau đó khi cần một chức năng cụ thể, nhắc nhở người dùng cho phép.

"Đó là một điều Apple làm tốt hơn", Sutton nói. Ông cho biết "cách tiếp cận ưu việt" đối với các quyền theo mô hình iOS thực hiện công việc bảo vệ người tiêu dùng tốt hơn.

Apple cũng đã chiến đấu để ngăn chặn các nhà phát triển theo dõi các thiết bị, Sutton nói. Các nhà phát triển ban đầu được phép truy vấn UDID duy nhất của thiết bị, nhà quảng cáo có thể sử dụng để xây dựng hồ sơ và hiểu loại ứng dụng nào người dùng đang sử dụng. Mặc dù Apple đã cấm sử dụng UDID, Zscaler nhận thấy 38% ứng dụng iOS trong phân tích vẫn có quyền truy cập. Apple cũng đã cấm các nhà phát triển theo dõi địa chỉ MAC. UUID là cách tiếp cận ưa thích vì đây là giá trị duy nhất được tạo cho mỗi ứng dụng và thiết bị, ngăn nhà quảng cáo theo dõi người dùng trên các ứng dụng.

Apple đã "thực sự chiến đấu trong một cuộc chiến để ngăn chặn các nhà phát triển theo dõi các thiết bị", Sutton nói. "Google đã không làm gì trên lĩnh vực đó."

Mô hình cấp phép Android hút so với apple ios '