Video: Bá»n cá»±u lãnh Äạo doanh nghiá»p bá» khá»i tá» vì liên quan VÅ© 'Nhôm' (Tháng Chín 2024)
Một số ứng dụng thuế và tài chính liên quan cho Android và iOS có thể được thu thập và chia sẻ dữ liệu người dùng một cách không cần thiết. Bạn có bất kỳ ứng dụng nào trên thiết bị di động của mình không?
Appthority đã phân tích một số ứng dụng quản lý tài chính thuế cho các thiết bị Android và iOS và xác định một số hành vi rủi ro, bao gồm theo dõi vị trí người dùng, truy cập danh sách liên lạc và chia sẻ dữ liệu người dùng với bên thứ ba, Domingo Guerra, chủ tịch và người sáng lập Appthority, nói với SecurityWatch.
Rất nhiều ứng dụng truyền dữ liệu người dùng như vị trí và thông tin liên hệ được kéo từ sổ địa chỉ sang mạng quảng cáo của bên thứ ba, Appthority được tìm thấy. Hầu hết các giao tiếp với các mạng quảng cáo tình cờ có văn bản rõ ràng. Mặc dù ứng dụng H & R Block có ý nghĩa truy cập vào vị trí của người dùng, vì ứng dụng cho phép người dùng tìm thấy cửa hàng gần nhất, "không rõ tại sao" các ứng dụng còn lại cần thông tin đó.
"Phần còn lại chỉ là chia sẻ vị trí đó với các mạng quảng cáo, " Guerra nói.
Danh sách các ứng dụng bao gồm "ứng dụng thuế tên tuổi và một số người mới nhỏ hơn" như H & R Block TaxPrep 1040EZ và các ứng dụng H & R Block đầy đủ, TaxCaster và My Tax Refund từ Intuit (công ty đứng sau TurboTax), Công cụ tính thuế thu nhập 2012 từ một nhà phát triển có tên SydneyITGuy và Thuế Liên bang 1040EZ từ RazRon, Guerra nói. Appthority đã thực hiện phân tích bằng dịch vụ quản lý rủi ro ứng dụng di động tự động của riêng mình.
Yếu đến không mã hóa
Các ứng dụng thường có mã hóa yếu và được chọn để bảo vệ có chọn lọc một số lưu lượng dữ liệu, trái ngược với mã hóa tất cả lưu lượng, Appthority được tìm thấy. Một vài trong số các ứng dụng mà Guerra của Guerra đã không chỉ định những ứng dụng nào mà sử dụng mật mã mã hóa có thể dự đoán được thay vì tận dụng các ngẫu nhiên mã hóa. Các ứng dụng "không tên", chẳng hạn như ứng dụng từ RazRon, hoàn toàn không sử dụng mã hóa.
Một trong những ứng dụng tên tuổi bao gồm đường dẫn tệp đến mã nguồn trong thông tin gỡ lỗi của nó trong tệp thực thi. Các filepath thường bao gồm tên người dùng và thông tin khác có thể được sử dụng để nhắm mục tiêu cho nhà phát triển ứng dụng hoặc công ty, Appthority nói. Một lần nữa, Guerra không xác định ứng dụng theo tên.
Mặc dù "nói chung không phải là rủi ro lớn để rò rỉ thông tin này", "nên tránh nếu có thể", Guerra nói.
Hiển thị dữ liệu
Một số ứng dụng cung cấp một tính năng trong đó người dùng có thể chụp ảnh W2 và hình ảnh sau đó được lưu trong "cuộn camera" của thiết bị, tìm thấy Appthority. Đây có thể là một vấn đề nghiêm trọng đối với người dùng tự động tải lên hoặc đồng bộ hóa với các dịch vụ đám mây như iCloud hoặc Google+ vì hình ảnh đó được lưu vào các vị trí không an toàn và có khả năng bị lộ.
Cả hai phiên bản iOS và Android của ứng dụng H & R Block 1040EZ đều sử dụng các mạng quảng cáo như AdMob, JumpTab và TapJoyAds, nhưng phiên bản đầy đủ của ứng dụng H & R Block không hiển thị quảng cáo, Appthority lưu ý.
iOS vs Android
Không có nhiều sự khác biệt trong các loại hành vi rủi ro giữa các phiên bản iOS và Android của cùng một ứng dụng, Guerra nói. Hầu hết các khác biệt được rút ra từ cách hệ điều hành xử lý các quyền. Android yêu cầu ứng dụng hiển thị tất cả các quyền trước khi người dùng có thể cài đặt và chạy ứng dụng theo cách tiếp cận tất cả hoặc không có gì. Ngược lại, iOS yêu cầu sự cho phép khi tình huống xuất hiện. Ví dụ: ứng dụng iOS sẽ không có quyền truy cập vào vị trí của người dùng cho đến khi người dùng cố gắng sử dụng tính năng định vị cửa hàng.
Theo các quy tắc mới nhất, iOS 6 cấm các nhà phát triển ứng dụng theo dõi người dùng dựa trên số ID thiết bị và số UDID hoặc EMEI của họ. Thực tế này vẫn còn phổ biến trong số các ứng dụng Android. Phiên bản iOS của ứng dụng H & R Block 1040EZ không theo dõi người dùng, nhưng phiên bản Android của cùng một ứng dụng thực hiện bằng cách thu thập ID thiết bị di động, xây dựng nền tảng di động và thông tin phiên bản và ID người đăng ký thiết bị di động, Guerra nói.
Ứng dụng H & R Block đầy đủ theo yêu cầu của Android và có thể truy cập danh sách tất cả các ứng dụng khác được cài đặt trên thiết bị. Phiên bản iOS của ứng dụng không có quyền truy cập vào thông tin này vì hệ điều hành không cho phép điều này.
Rủi ro hay không?
Không có gì đặc biệt rủi ro vào thời điểm này, những ứng dụng này không truyền mật khẩu và hồ sơ tài chính bằng văn bản rõ ràng. Tuy nhiên, thực tế là các ứng dụng đang chia sẻ dữ liệu người dùng một cách không cần thiết. Ngoại trừ một ứng dụng, không có ứng dụng nào khác cung cấp tính năng định vị cửa hàng. Tại sao, sau đó, các ứng dụng khác cần truy cập vào vị trí của người dùng? Tại sao các ứng dụng này cần truy cập vào danh bạ của người dùng? Điều đó dường như không cần thiết cho việc chuẩn bị thuế.
Appthority đã xem xét một số ứng dụng cũ "để chứng minh một quan điểm", Geurra nói. Nhiều ứng dụng trong số này có ngày hết hạn của các loại ứng dụng, chẳng hạn như các ứng dụng thuế năm 2012, nơi người dùng dự kiến sẽ không sử dụng nữa sau khi họ sử dụng xong.
Các "ứng dụng dùng một lần" này hiếm khi được lấy từ thị trường và người dùng nên biết rằng các ứng dụng này có quyền truy cập vào dữ liệu trên thiết bị của người dùng.
