Người dùng doanh nghiệp có nguy cơ mất dữ liệu thông qua 78% ứng dụng di động

Nhiều ứng dụng di động đi kèm với một loạt quảng cáo, khả năng kết nối với phương tiện truyền thông xã hội hoặc cả hai. Chúng có vẻ như là các tiện ích bổ sung vô hại, được đặt trong ứng dụng nhằm mục đích kiếm lợi nhuận cho nhà phát triển ứng dụng. Tuy nhiên, các tính năng này có thể có khả năng truy cập PII của người dùng hoặc thông tin nhận dạng cá nhân. Khả năng truy cập thông tin nhạy cảm của các tiện ích bổ sung không chỉ nguy hiểm vì các chức năng của nó có thể thu thập thông tin nhạy cảm sau khi người dùng phê duyệt quyền của ứng dụng mà thông tin cũng có thể bị lộ mà không có kiến ​​thức của người dùng.

Một nghiên cứu của Mojave Networks, một công ty khởi nghiệp bảo mật công nghệ có trụ sở tại San Mateo, California, đã sử dụng Threat Labs của họ để kiểm tra 11 triệu URL gửi và nhận dữ liệu trong hơn 2000 ứng dụng được cài đặt bởi khách hàng, với nghiên cứu tập trung vào người dùng doanh nghiệp. Các URL này sau đó được đặt trong các danh mục dựa trên kết nối của chúng với một trong ba thư viện: mạng quảng cáo, API phương tiện truyền thông xã hội hoặc API phân tích. Kết quả cho thấy 78% ứng dụng được tải xuống được kết nối với một trong ba nhóm, khiến người dùng có nguy cơ truy cập không xác định vào thông tin cá nhân của họ hoặc thậm chí tệ hơn, mất dữ liệu cá nhân hoặc doanh nghiệp.

Thiếu trách nhiệm

Điều gây sốc hơn nữa là cách các thư viện này được thực hiện. Chúng được sử dụng bởi nhà phát triển, người nhận mã từ bên thứ ba. Các mã này chủ yếu được sử dụng để giúp thu thập doanh thu quảng cáo, theo dõi số liệu thống kê của người dùng hoặc tích hợp với phương tiện truyền thông xã hội. Báo cáo đề cập rằng có hàng ngàn thư viện có sẵn và phần lớn, các mã bên thứ ba này thường không thu thập PII. Tuy nhiên, không phải tất cả trong số họ có thể được tin tưởng. Trong hầu hết các trường hợp, nhà phát triển thường sẽ triển khai mã với ít hoặc không xem xét lại những gì nó chứa, khiến bạn có quyết định tin tưởng mù quáng vào phán đoán của nhà phát triển và có nguy cơ cho phép các thư viện này truy cập dữ liệu của bạn mà bạn không biết.

Để làm cho vấn đề tồi tệ hơn, người dùng bị ràng buộc bởi các chính sách cụ thể của thư viện chỉ bằng cách tải xuống và cài đặt ứng dụng mà không bao giờ nhìn thấy các chi tiết của chính sách. Từ quan điểm kinh doanh, điều này có thể dẫn đến việc thiếu trách nhiệm và gây khó khăn cho các quản trị viên CNTT trong việc quyết định ứng dụng nào gây rủi ro bảo mật.

Trung bình, mỗi ứng dụng có khoảng chín quyền. Năm trong số đó được coi là rất nguy hiểm vì chúng có thể cung cấp quyền truy cập vào thông tin mà nếu không sẽ được giữ kín. Ví dụ: Airpush, một trong những thư viện quảng cáo hàng đầu trong nghiên cứu, thu thập dữ liệu sau:

• ID Android
• Thiết bị và kiểu dáng thiết bị
• Loại và phiên bản trình duyệt di động
• địa chỉ IP
• ID do Airpush tạo
• Danh sách các ứng dụng di động được cài đặt trên điện thoại.
• "Dữ liệu kỹ thuật khác về thiết bị của bạn."

Nếu bạn cho phép làm như vậy, Airpush cũng có thể thu thập:

• Vị trí địa lý chính xác bao gồm quốc gia và mã ZIP.
• ID thiết bị bao gồm số Nhận dạng thiết bị di động quốc tế (IMEI), số sê-ri thiết bị và địa chỉ Điều khiển truy cập phương tiện (MAC).
• Lịch sử trình duyệt và nhiều hơn nữa.

Người dùng có thể từ chối một số bộ sưu tập dữ liệu, chẳng hạn như danh sách các ứng dụng di động được cài đặt và lịch sử trình duyệt.

Nếu bạn cài đặt một ứng dụng sử dụng Airpush, nó có thể có quyền truy cập vào tất cả các thông tin này mà bạn không biết. Điều tồi tệ nhất là việc truy cập rộng rãi vào thông tin cá nhân này là điển hình và không có gì mới trong thị trường ứng dụng di động.

Phòng chống người dùng

Chỉ có rất nhiều người dùng có thể làm về mặt cho phép và từ chối cấp phép cho mỗi ứng dụng, đặc biệt nếu họ muốn có được tiềm năng đầy đủ của ứng dụng. May mắn thay, có hai ứng dụng tuyệt vời để phát hiện những vi phạm tiềm năng này.

Nếu Lookout xác định rằng một mạng quảng cáo tự hoạt động, không có sự đồng ý của người dùng, thì nó sẽ phân loại mạng đó là phần mềm quảng cáo. Ngoài ra, nó cung cấp thông tin về phần mềm quảng cáo bao gồm nhận dạng, chức năng và tác hại tiềm ẩn đối với người dùng. viaProtect là một công cụ tuyệt vời khác, cung cấp một biểu đồ trực quan về nơi dữ liệu người dùng sẽ đi theo mạng và quốc gia và bao nhiêu phần mềm được mã hóa. Điều này cho phép người dùng đưa ra quyết định có căn cứ về việc có nên xóa một số ứng dụng nhất định cung cấp quá nhiều thông tin hay không.

An ninh là tối quan trọng trong thời đại kỹ thuật số. Các ứng dụng như Lookout và viaProtect cho phép người dùng biết liệu dữ liệu của họ có gặp rủi ro hay không, nhưng vẫn khó ngăn các thư viện không thể truy cập PII của người dùng. Hiện tại, đọc bản in đẹp và đưa ra quyết định sáng suốt là cách tốt nhất để chống lại truy cập không mong muốn trên thiết bị di động.