Ili - Šta SVE LOŠE aplikacije rade našem telefonu u pozadini i zašto toga nismo svesni...
Kada preuzimamo neku aplikaciju, zahtev za dozvolu za pristup informacijama i funkcijama mobilnog telefona i politika privatnosti obično su jedina dva upozorenja o preuzimanju naših podataka, a mi treba da verujemo na reč da će uzeti samo podatke za koje smo im odobrili pristup.
Međutim, izgleda da nije tako.
Istraživači bezbednosti na internetu otkrili su da aplikacije, koje instaliramo na naše mobilne telefone preuzimaju mnogo više podataka o nama, nego što nam saopštavaju u upozorenju. A utvrđeno je da više od hiljadu aplikacija preuzima naše podatke iz telefona, čak i ako smo im uskratili dozvolu.
Na primer, aplikacija za praćenje mesečnog ciklusa kod žena, svoje podatke je podelila sa Facebook i srodnim kompanijama. Slično njima, aplikacije koje sprečavaju automatske pozive podelile su podatke korisnika sa kompanijama koje se bave analitikom, navodi Sinet, a prenosi RTS.
Kad god uređaj šalje podatke protok i povezivanje se beleže. Lokacija nam se proverava kad god pratimo vremensku prognozu, a ti podaci se šalju oglašivačima.
Istraživači, koji prate bezbednost na internetu imaju alat, koji im omogućava da vide tu vrstu povezivanja. Zatim podatke analiziraju kako bi utvrdili koliko podataka se šalje i kuda. Obično su analize prometa podataka rađene na osnovu pregleda sa javnih Wi-Fi mreža. Međutim, analiza se sada sprovodi i na mobilnim telefonima kako bi se utvrdilo koje podatke aplikacije preuzimaju od korisnika i šalju dalje.
Kada su zavirili unutra, ustanovili su da mnoge aplikacije šalju podatke, koji daleko premašuju ono na što su ljudi pristali. “Na kraju, ostaje vam politika privatnosti, koja je u stvari besmislena, jer ne opisuje šta se tačno događa. Jedini način da se odgovori na to pitanje je da se vidi šta aplikacija radi s tim podacima“, kaže Serž Iglman, direktor istraživanja sigurnosti i privatnosti na Međunarodnom institutu za kompjutersku nauku.
Ponekad, podaci se samo prosleđuju oglašivačima, koji misle da ih mogu koristiti za prodaju proizvoda. Podaci o lokaciji mobilnog telefona mogu biti zlatan rudnik za oglašivače, kako bi znali gde se ljudi nalaze u određenim vremenskim razdobljima. Isto tako, podatke dobijene preko aplikacija mogu koristiti i državne službe za praćenje kretanja. Nedavno je The Wall Street Journal objavio kako državne bezbednosne službe takve podatke koriste kako bi pratile kretanje imigranata.
Izvor: MONDO / Marko ČavićPraćenje lokacije
Vil Strafač je počeo da se bavi analizom prometa na mreži još 2017. godine dok je radio u kompaniji, koja se bavi bezbednošću mobilnih telefona čiji je i suosnivač. Čak i kad je GPS isključen na telefonu Strafač je otkrio rupe, koje omogućavaju praćenje podataka, kao što je prikupljanje informacija o lokaciji kad je telefon povezan na Wi-Fi mrežu.
Problem je izašao na videlo kad je otkriveno da AccuWeather, popularna aplikacija za vremensku prognozu, šalje podatke o lokaciji korisnika, čak i kad je opcija za deljenje lokacije isključena. Strafač je ustanovio da skriveno praćenje lokacije, kao što je kod pomenute aplikacije, predstavlja jedan od najvećih problema privatnosti kod aplikacija. Ljudi daju dozvole aplikacijama za svrhu, koja im je potrebna, kao što je pronalazak najjeftinije benzinske pumpe u okolini, ali ne shvataju da se u pozadini informacije dele.
Za razliku od zlonamernih softvera, koje Strafač takođe istražuje, ove aplikacije se normalno nalaze u Google i Apple prodavnicama, a u nekim slučajevima dolaze već instalirane s mobilnim telefonom.
Često u pitanju nije samo jedna aplikacija. Reč je o načinu kako su povezane, o skrivenoj mreži podataka u kodu koja im pomaže da izgrade sveobuhvatnu sliku o nekome i šta on radi. Iako kompanije tvrde da su podaci anonimni, potrebno je malo napora kako bi se utvrdilo ko je osoba na osnovu lokacije, vremena i aktivnosti koje se mogu prikupiti.
Na Međunarodnom institutu za kompjutersku nauku na Univerzitetu Berkli, Serž Iglman vodi tim od oko 10 istraživača, koji u laboratoriji koristi više prilagođenih Android pametnih telefona programiranih za pretraživanje novih aplikacija u Google Play prodavnici i otkrivanje podataka, koje svaka aplikacija uzima s uređaja. Njihov alat traži nove aplikacije i dodaje ih u bazu podataka, a one se u bazi proveravaju svake dve sedmice da bi se utvrdilo jesu li im dodati novi softveri za praćenje.
Iglman je 2019. godine objavio izveštaj u kojem je opisano kako oko 17.000 Android aplikacija, koje kreiraju trajni zapis o aktivnostima uređaja. Više od godinu dana kasnije, kako kaže, ništa se nije promenilo.
Trajni zapis uređaja je, zapravo trajni zapis o vašim navikama, o onome šta, kako i kada koristite, za šta, s kim i koliko dugo - to je, zapravo vaš digitalni identitet!
Izvor: MONDO / Marko ČavićŠto da učinimo da bismo se zaštitili
Jedino što se za sada može učiniti, to je ne preuzimati aplikacije, koje ovo rade. Iglman je svoj alat iz istraživanja pretvorio u tehniku, koju ljudi mogu da koriste, kako bi proverili aplikacije koje imaju na svojim uređajima. Naravno, on ne očekuje da će svaka osoba odjednom naučiti kako da uradi analizu mrežnog saobraćaja niti će ljudi to želeti.
“Ako je potreban tim istraživača koji pišu svoje vlastite softvere i istražuju mrežni promet da bi shvatili o čemu se tačno radi, svakako nije razumno očekivati da će prosečni potrošač učiniti isto. Umesto toga, potrebne su nadzorne grupe i regulatorna tela. Oni bi trebalo to da rade, a ne potrošači“, ističe Iglman.
Svoj alat je ponudio preko aplikacije koja se zove AppCensus, a koja omogućava korisniku pretraživanje aplikacija i uvid, koji su podaci poslati i koji se šalju. Tim, takođe radi na aplikaciji koja će upozoriti vlasnika telefona kad god se podaci za identifikaciju šalju softverima za praćenje. Za preuzimanje je dostupan i alat CharlesProxy, koji radi presretanje mrežnog prometa i sa kompjutera i sa telefona.
Vil Stafač kaže da njegova kompanija radi na ažuriranju sigurnosne aplikacije, koja će obaveštavati ljude kad god neka aplikacija uzme više podataka sa mobilnog telefona nego što je trebalo.