Mobilní aplikace žijí vlastním životem bez vědomí uživatelů

Albert Ryba | 20.02.2014 | Bezpečnost, Mobilita, Software | Žádné komentáře

Mobilní aplikace mají často jednu nemilou vlastnost – až poté, co je nainstalujete, začnete postupně zjišťovat, že se mohou chovat nestandardně a neočekávaně. V horším případě toto jejich chování ani nezaregistrujete, ale to neznamená, že neprobíhá skrytě na pozadí. Studie Winter 2014 App Reputation Report od společnosti Appthority se zaměřila na mapování nejčastějších druhů nestandardního a rizikového chování nejpoužívanějších mobilních aplikací pro platformy Android a iOS.

Pro analýzu bylo použito konkrétně 200 nejstahovanějších aplikací z Google Play a 200 z App Store od společnosti Apple. Ve srovnání se studií z loňského roku je vidět, že na první stovce příček se obměnila zhruba polovina aplikací, což dělá téměř nemožné udržovat nějaké whitelisty či blacklisty mobilních aplikací. A nejen uživatelé, ale i firmy, jejichž zaměstnanci tyto aplikace používají často k pracovním účelům, začnou objevovat nestandardní chování aplikací obvykle až poté, co se projeví v praxi.

Typické rizikové chování mobilních aplikací

Známky rizikového chování podle studie společnosti Appthority projevují jak bezplatné, tak i placené aplikace. U těch zdarma je to ale ve výrazně větším měřítku. Konkrétně 70 % bezplatných a 44 % placených aplikací například sleduje polohu uživatele, často i v případě, že to ke svojí činnosti tyto aplikace vůbec nepotřebují.

Mezi další oblasti, na které se studie zaměřila, patří jednotné přihlašování, které umožní trvalé přihlášení uživatele ve více aplikacích či službách za použití UDID (Unique Device Identifier, což je 40místný kód unikátní pro každý vyrobený přístroj). Nicméně tím roste riziko, že pokud bude přihlášení kompromitováno a přihlašovací údaje odhaleny, ohrozí to všechny stránky a aplikace, které jej využívají. Podvržením UDID tak může cizí osoba vystupovat jako původní uživatel a ten tomu nemá ani jak zabránit. Navíc využití UDID je považováno za poměrně invazivní metodu a Apple již vývojáře žádal, aby volili některý z alternativních způsobů identifikace uživatele. Měl ale jen dočasný úspěch a nyní použití UDID na iOS opět bují.

Mezi další rizikové oblasti patří nákupy služeb přímo v aplikacích, jež jsou často nedostatečně zabezpečené a také sdílení dat s reklamními sítěmi a analytickými společnostmi, s nimiž mají vývojáři často uzavřené dohody a jsou jimi placení.

Report dále poukázal na následující fakta:
- Celkem 56 % z 200 nejpoužívanějších aplikací pro Android a iOS přistupuje k UDID. U Androidu pak 100 % bezplatných herních aplikací pracuje s UDID.
- 31 % bezplatných aplikací a 22 % placených aplikací přistupuje do kontaktů nebo adresáře uživatele.
- Celých 58 % nejpoužívanějších bezplatných aplikací pro Android sdílí data s reklamními sítěmi, v případě placených je to pak 24 %.
- Představa, že herní aplikace jsou rizikovější, je mýtus. Jak neherní aplikace, tak i mobilní hry, vykazují velmi podobné charakteristiky a chování.
- Nejpopulárnější bezplatná hra Candy Crush se vyznačuje největším počtem nákupů uskutečněných uživateli v rámci aplikace.

Společnost Appthority v rámci omezení rizik mobilních aplikací nabízí firmám dvě nové funkce – jednou je generátor politik, který má firmám umožnit vytvoření vlastních profilů s ohledem na riziko, jaké jsou ochotny tolerovat. A to pro nejrůznější skupiny zaměstnanců v rámci firmy. Nově lze také docílit toho, aby byli uživatelé na menší prohřešky proti stanovené politice opakovaně upozorněni a pokud tak neučiní po určité době, systém provede nápravu automaticky.

Studii Winter 2012 App Reputation Report lze po registraci zdarma stáhnout z adresy https://forms.appthority.com/acton/form/6354/000a:d-0001/0/index.htm?id=000a

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− dva = nula

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz