Dosłownie złośliwe oprogramowanie? Symboliczna eksplozja aplikacji Ubera


W zeszłym tygodniu The Hacker News opublikował artykuł o aplikacji mobilnej oferowanej przez usługę udostępniania jazdy Uber – okazuje się, że badacz bezpieczeństwa z Arizony dokonał inżynierii wstecznej aplikacji na Androida, aby zobaczyć, jakie dane gromadzi, i na podstawie swoich odkryć nazwał ją „Dosłownie złośliwe oprogramowanie”. Obecnie sieć internetowa jest dyskusja na temat samej aplikacji, uprawnień mobilnych i tego, co tak naprawdę oznacza bycie złośliwym oprogramowaniem.

Szukają Czego?

Uprawnienia aplikacji są już kością niezgody wśród użytkowników, szczególnie jeśli chodzi o urządzenia z Androidem. Google często zmusza programistów do uwzględnienia bardzo szerokich wniosków o pozwolenie na nawet proste funkcje, co sprawia wrażenie, że dostęp do znacznie większej ilości danych jest wymagany niż jest to wymagane. W przypadku Ubera wątek Ycombinator stwierdził, że może potencjalnie uzyskać dostęp do wielu informacji, w tym:

  • aktywność aplikacji
  • żywotność baterii
  • informacje o urządzeniu, w tym producent, model, system operacyjny i kod SDK
  • Dane SMS
  • Dane połączenia WiFi
  • Dane kontaktowe
  • Dane GPS
  • Informacje o złośliwym oprogramowaniu, takie jak sprawdzanie luk w zabezpieczeniach Heartbleed

Wiele z tych danych ma sens: dane połączenia GPS i Wi-Fi mogą być wykorzystane do określenia Twojej lokalizacji podczas zamawiania jazdy, a dane kontraktowe pozwalają podzielić taryfy lub zaprosić znajomych do korzystania z aplikacji. Nawet informacje o urządzeniu nie są całkowicie niepoprawne: Uber twierdzi, że wykorzystuje te dane, aby przypisać unikalny identyfikator użytkownika.

Inne informacje są jednak bardziej kłopotliwe. Dlaczego Uber miałby obchodzić historię SMS-ów, informacje o złośliwym oprogramowaniu lub żywotność baterii? To wydaje się nieco uciążliwe, a jeśli te dane są naprawdę wysyłane z powrotem do firmy, nietrudno zrozumieć, dlaczego niektórzy nazywają aplikację „złośliwym oprogramowaniem”.

Nie tak złowrogi?

Ale to nie jest takie proste. Next Web wykonał kopanie i stwierdził, że podczas gdy Uber odsyłał wszystkie informacje potrzebne do jazdy, aplikacja nie pobierała SMS-ów ani innych danych do zebrania. Uber powiedział to samo w oświadczeniu do Cult of Mac, a także wskazał, że inne usługi często wymagają tego samego rodzaju uprawnień.

Warto również wspomnieć, że aby korzystać z aplikacji Uber, użytkownicy muszą ją najpierw pobrać, a następnie wyrazić zgodę na przedstawione uprawnienia. Chociaż firma z pewnością wydaje się zainteresowana zdobyciem wszystkiego, co może poprawić „wrażenia użytkownika”, nie wydaje się, aby jej celem było kradzież danych osobowych – jaki byłby sens? Użytkownicy szybko dowiadują się o wszelkich nieprawidłowościach i szybko rozpowszechniają informacje. Jak zauważył The Next Web, tutaj uprawnienia mogą nie być problemem: może to być sposób, w jaki są one prezentowane użytkownikom, tak jakby wszystkie ich dane były do ​​zdobycia.

Znajome terytorium

Uber nie jest pierwszą aplikacją, która ma pytania o uprawnienia. W Wielkiej Brytanii urzędnicy państwowi wzywają do zapytania dotyczącego aplikacji mobilnej Facebooka oraz możliwości robienia zdjęć i nagrywania filmów bez pozwolenia. Tymczasem USA dzisiaj wskazują, że wiele bezpłatnych aplikacji wymaga wielu niepotrzebnych uprawnień – na przykład wirtualne zwierzaki i aplikacje słownikowe chcą mieć dostęp do danych GPS i mikrofonów.

Więc jaki jest ostateczny werdykt? Czy aplikacja Ubera jest „złośliwym oprogramowaniem”? Raczej. Chociaż może potencjalnie uzyskiwać dostęp do informacji o urządzeniu, które wykraczają daleko poza jego zakres jako aplikacji do wspólnego jeżdżenia, nie ma dowodów na złośliwe działanie. Uber był ostatnio ostrzeliwany z powodu wielu innych problemów, więc nie jest zaskoczeniem, że ich aplikacja jest poddawana większej analizie – to, co naprawdę się tutaj ujawnia, nie jest wielką tajemnicą Ubera, ale faktem, że aplikacje na Androida ogólnie wymagają znacznie większego zasięgu niż naprawdę potrzebują. Niektóre z nich znajdują się w Google, a niektóre pochodzą od samych twórców aplikacji.

Niezależnie od źródła pozostaje faktem, że to użytkownicy powinni przeczytać, na co się zgadzają, a następnie zdecydować, czy ryzyko jest warte nagrody. I właśnie tutaj rozpada się złośliwe oprogramowanie Ubera: użytkownicy dają aplikacji pozwolenie na dostęp do całego urządzenia. Za pozwoleniem przychodzi milcząca aprobata; jeśli chcesz prywatności, zawsze czytaj uważnie przed kliknięciem „zgadzam się”.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map