Kako nam aplikacije kradu podatke i kako se zaštititi?

Kada preuzmamo neku aplikaciju, zahtev za dozvolu za pristup informacijama i funkcijama mobilnog telefona i politika privatnosti obično su jedina dva upozorenja o preuzimanju naših podataka, a mi treba da verujemo na reč da će uzeti samo podatke za koje smo im odobrili pristup. Međutim, izgleda da nije tako.

Kako nam aplikacije kradu podatke i kako se zaštititi?

Istraživači bezbednosti na internetu otkrili su da aplikacije koje instaliramo na naše mobilne telefone preuzimaju mnogo više podataka o nama, nego što nam saopštavaju u upozorenju. A utvrđeno je da više od hiljadu aplikacija preuzima naše podatke iz telefona, čak i ako smo im uskratili dozvolu.

Na primer, aplikacija za praćenje mesečnog ciklusa kod žena, svoje podatke je podelila sa „Fejsbukom“ i srodnim kompanijama. Slično njima, aplikacije koje sprečavaju automatske pozive podelile su podatke korisnika sa kompanijama koje se bave analitikom, navodi Sinet.

Kad god uređaj šalje podatke protok i povezivanje se beleže. Lokacija nam se proverava kad god pratimo vremensku prognozu, a ti podaci se šalju oglašivačima.

Istraživači koji prate bezbednost na internetu imaju alat koji im omogućava da vide tu vrstu povezivanja. Zatim podatke analiziraju kako bi utvrdili koliko podataka se šalje i kuda. Obično su analize prometa podataka rađene na osnovu pregleda sa javnih vaj-faj mreža.

Međutim, analiza se sada sprovodi i na mobilnim telefonima kako bi se utvrdilo koje podatke aplikacije preuzimaju od korisnika i šalju dalje.

Kada su „zavirili“ unutra, ustanovili su da mnoge aplikacije šalju podatke koji daleko premašuju ono na što su ljudi pristali.

„Na kraju, ostaje vam politika privatnosti koja je u stvari besmislena, jer ne opisuje šta se tačno događa. Jedini način da se odgovori na to pitanje je da se vidi šta aplikacija radi s tim podacima“, kaže Serž Iglman, direktor istraživanja sigurnosti i privatnosti na Međunarodnom institutu za kompjutersku nauku.

Ponekad, podaci se samo prosleđuju oglašivačima, koji misle da ih mogu koristiti za prodaju proizvoda. Podaci o lokaciji mobilnog telefona mogu biti „zlatan rudnik“ za oglašivače, kako bi znali gde se ljudi nalaze u određenim vremenskim razdobljima.

Isto tako, podatke dobijene preko aplikacija mogu koristiti i državne službe za praćenje kretanja. Nedavno jeVolstrit džornalobjavio kako državne bezbednosne službe takve podatke koriste kako bi pratile kretanje imigranata.

Praćenje lokacije

Vil Strafač je počeo da se bavi analizom prometa na mreži još 2017. godine dok je radio u kompaniji koja se bavi bezbednošću mobilnih telefona čiji je i suosnivač.

Čak i kada je GPS isključen na telefonu Strafač je otkrio „rupe“ koje omogućavaju praćenje podataka, kao što je prikupljanje informacija o lokaciji kada je telefn povezan na vaj-faj mrežu.

Problem je izašao na videlo kada je otkriveno daAkuveder, popularna aplikacija za vremensku prognozu, šalje podatke o lokaciji korisnika, čak i kada je opcija za deljenje lokacije isključena.

Strafač je ustanovio da skriveno praćenje lokacije, kao što je kodAkuvedera, predstavlja jedan od najvećih problema privatnosti kod aplikacija. Ljudi daju dozvole aplikacijama za svrhu koja im je potrebna, kao što je pronalazak najjeftinije benzinske pumpe u okolini, ali ne shvataju da se u pozadini informacije dele.

Za razliku od zlonamernih softvera, koje Strafač takođe istražuje, ove aplikacije se normalno nalaze u Gugl i Epl prodavnicama, a u nekim slučajevima dolaze već instalirane s mobilnim telefonom.

Često u pitanju nije samo jedna aplikacija. Reč je o načinu kako su povezane, o skrivenoj mreži podataka u kodu koja im pomaže da izgrade sveobuhvatnu sliku o nekome i šta on radi. Iako kompanije tvrde da su podaci anonimni, potrebno je malo napora kako bi se utvrdilo ko je osoba na osnovu lokacije, vremena i aktivnosti koje se mogu prikupiti.

Na Međunarodnom institutu za kompjutersku nauku na Univerzitetu Berkli, Serž Iglman vodi tim od oko 10 istraživača koji u laboratoriji koristi više prilagođenih Android pametnih telefona programiranih za pretraživanje novih aplikacija u Gugl plej prodavnici i otkrivanje podataka koje svaka aplikacija uzima s uređaja.

Njihov alat traži nove aplikacije i dodaje ih u bazu podataka, a one se u bazi proveravaju svake dve sedmice da bi se utvrdilo jesu li im dodati novi softveri za praćenje.

Iglman je 2019. godine objavio izveštaj u kojem je opisano kako oko 17.000 Android aplikacija koje kreiraju trajni zapis o aktivnostima uređaja.

Više od godinu dana kasnije, kako kaže, ništa se nije promenilo.

Što možemo da učinimo da bismo se zaštitili

Jedino što se za sada može učiniti, to je ne preuzimati aplikacije koje ovo rade. Iglman je svoj alat iz istraživanja pretvorio u tehniku koju ljudi mogu da koriste kako bi proverili aplikacije koje imaju na svojim uređajima.

Naravno, on ne očekuje da će svaka osoba odjednom naučiti kako da uradi analizu mrežnog saobraćaja, niti će ljudi to želeti.

„Ako je potreban tim istraživača koji pišu svoje vlastite softvere i istražuju mrežni promet da bi shvatili o čemu se tačno radi, svakako nije razumno očekivati da će prosečni potrošač učiniti isto. Umesto toga, potrebne su nadzorne grupe i regulatorna tela. Oni bi trebalo to da rade, a ne potrošači“, ističe Iglman.

Svoj alat je ponudio preko aplikacije koja se zoveEpcenzus(AppCensus), a koja omogućava korisniku pretraživanje aplikacija i uvid koji su podaci poslati i koji se šalju. Tim takođe radi na aplikaciji koja će upozoriti vlasnika telefona kad god se podaci za identifikaciju šalju softverima za praćenje.

Za preuzimanje je dostupan i alat Čarls proksi (CharlesProxy), koji radi presretanje mrežnog prometa i sa kompjutera i sa telefona.

Vil Stafač kaže da njegova kompanija radi na ažuriranju sigurnosne aplikacije koja će obaveštavati ljude kad god neka aplikacija uzme više podataka sa mobilnog telefona nego što je trebalo.

(RTS)