Ačkoliv se společnosti Apple a Google neustále snaží vylepšovat bezpečnostní podmínky pro zveřejňování aplikací, není v jejich silách plně ovlivnit to, jak se budou aplikace chovat a jaká citlivá data budou na zařízení číst. Společnost Wandera provedla bezpečnostní analýzu, ve které se zaměřila na bezpečnost z pohledu sdílení uživatelských dat s aplikacemi.
Kontrolujete, jaká oprávnění ve vašem zařízení s iOS aplikace vyžadují?
Jsou to především vývojáři, kteří ve finále mohou ovlivnit to, jak se bude aplikace chovat, jaká data bude používat a k jakým datům bude mít aplikace přístup. I přesto, že se Apple a Google snaží výrazným způsobem zasahovat do nadměrného využívání uživatelských dat aplikacemi, není možné, aby veškerá odpovědnost ležela pouze na jejich bedrech. Sami vývojáři musí správně vyhodnocovat své postupy při shromažďování dat tak, aby minimalizovali dopad na soukromí a přitom zachovali funkčnost svých aplikací. Samozřejmě zde vstupuje do hry v neposlední řadě sám uživatel, který si musí být vědom toho, že stažením a používáním aplikace, se části svého soukromí vzdává.
Společnost Wandera prozkoumala téměř 100 000 vzorků populárních aplikací v obchodě App Store a seskupila je, pro lepší přehlednost, do jednotlivých kategorií. Jednalo se o vzorek aplikací, které byly nainstalovány v rámci zákaznické základny společnosti Wandera, jež spravuje 2,5 milionů zařízení. Zahrnuty nebyly aplikace, které neměly nedostatečný počet stažení. Analýza byla provedena ve druhém čtvrtletí tohoto roku. Metadata pocházejí z agregovaných protokolů a neobsahují žádné osobní údaje, nebo údaje, které by identifikovaly konkrétní společnost.
Jaká oprávnění aplikace požadují nejčastěji?
Fotografie
Z analýzy vyplývá, že nejčastěji vyžadovaným přístupem je knihovna fotografií. Minimálně polovina aplikací v každé kategorii k fotografiím vyžadovala přístup. Nejčastějšími kategoriemi vyžadujícími přístup k fotografiím jsou:
- Fotografie a video (96 %). Do této kategorie patří aplikace jako YouTube, FaceApp.
- Nakupování (87 %). Do této kategorie patří aplikace jako Amazon nebo eBay.
- Sociální sítě (84 %). Do této kategorie patří aplikace jako Facebook, Instagram a
Twitter.
Z historického pohledu aplikace získala přístup vždy k kompletní fotogalerii. S příchodem iOS 14 Apple toto oprávnění lépe zabezpečil. Nyní v případě požadavku oprávnění pro přístup k fotografiím musí aplikace uživateli nabídnout volbu, zda chce povolit přístup k celé fotogalerii, nebo pouze k vybraným fotografiím.
Fotoaparát
Přístup k fotoaparátu je druhým nejčastějším požadovaným oprávněním. Mnoho aplikací fotoaparát opravdu ke své plné funkčnosti potřebují. Jedná se ale o rizikovou oblast. Může totiž sloužit ke sledování uživatele aniž by to měl sám možnost zjistit. Mezi hlavní kategorie aplikací sem patří:
- Foto a video (90 %)
- Nakupování a sociální sítě jsou na děleném druhém místě (83 %).
- Pracovní aplikace (75 %). Do této kategorie patří aplikace jako Zoom nebo Slack.
Mnoho společnostní, jejichž fungování podléhá speciálním bezpečnostním režimům, nepovolují používání telefonů s fotoaparátem a mají k tomu opravdu dobrý důvod. V žalobě z roku 2021 byl například obviněn Instagram ze zneužití oprávnění, které mělo špehovat uživatele i přes to, že nebyl fotoaparát aktivně používán. Instagram později sdělil, že se jednalo o chybu a že nedošlo k žádnému zneužití citlivých dat.
Poloha
Další velmi citlivou oblastí je sdílení dat o poloze uživatele. Mezi hlavní kategorie aplikací, které oprávnění nejčastěji požadují, sem patří:
- Nákupy jídla a nápojů (81 %). Tato kategorie zahrnuje aplikace, jako jsou např. DoorDash, UberEats nebo Yelp.
- Sociální sítě (72 %)
- Fotografie a video (68 %)
Když se opět podíváme do historie, konkrétně do roku 2019, tak společnosti Apple a Google zavedly vyšší a jednotnou úroveň zabezpečení. Do verze systému iOS 13 existovaly dvě úrovně oprávnění – poloha při použití (na popředí) a poloha vždy (na pozadí). S příchodem systému iOS 13 Apple zavedl další úroveň – povolit jednou. Toto oprávnění umožnilo aplikaci zjistit polohu pouze v jednom daném momentu a sloužilo jako dočasné oprávnění. Podobné to bylo i u systému Android, kde do verze 10 existovala pouze jedna možnost, a to povolit, nebo zakázat. S příchodem systému Android 10 uživatelé získali možnost udělit dočasné oprávnění pouze při používání aplikace.
Zdroj: Wandera
Mikrofon
Mezi čtvrtý nejčastěji používaný požadavek na oprávnění mezi aplikacemi patří mikrofon. Z pohledu nejfrekventovanějších kategorií sem patří:
- Sociální sítě (69 %)
- Fotografie a video (64 %)
- Pracovní aplikace (produktivita) (41 %). Do této kategorie patří aplikace jako Asana,
- Google kalendář, TimeTree
V případě neoprávněného použití a získání přístupu k mikrofonu může dojít k neoprávněnému nahrávání soukromých konverzací a odposlouchávání okolí. Apple s příchodem iOS 14 zavedl opatření v podobě oranžového indikátoru, který signalizuje to, že aplikace mikrofon použila a uživatel tak může lépe rozpoznat, pokud se na jeho zařízení děje něco podezřelého. Toto opatření platí v prostředí iOS 14 i pro kameru.
Jsou zde ale i další způsoby narušení ochrany soukromí
Kromě výše popsaných oblastí, které patří k těm nejkritičtějším, jsou zde ale další způsoby, jak je možné získat citlivá data uživatelů. I přes to, že se může jednat o aplikaci fungující v tzv. sandbox módu, kdy aplikace pracuje v uzavřeném prostředí a nemá přístup k dalším aplikacím, jsou způsoby, jak tento bezpečnostní mechanismu obejít. Aplikace spolu nemusí komunikovat napřímo, ale díky propojení různých backendových služeb a webovým interakcím si i tak může inzerent najít cestu, a to na základě chování sledovaného uživatele na internetu a propojit si tak jeho profil s různými zdroji.
Jedním z takových způsobů je výměna informací pomocí reklamních identifikátorů, které sledují a sdílejí informace o uživateli za účelem cílení reklamy. Tento způsob si většina uživatelů ani neuvědomí. Ti pozornější zjistí, že se jim začne zobrazovat personalizovaná reklama a jejich emailová schránka se začne plnit spamem na produkty, které si prohlíželi na internetu. Stačí například zadat do vyhledávače Google slovo auto, případně přímo jeho značku a na sociálních sítích se začne zobrazovat reklama na automobily.
Na toto zareagovala společnost Apple, která v aktualizaci systému iOS 14.5 zavedla kontrolu „App Tracking Transparency“. Ta nařizuje vývojářům nutnost, aby se jejich aplikace vždy zeptaly, zdali aplikace může sledovat aktivitu uživatele online.
Jaký je závěr analýzy?
I přes veškeré snahy Applu a Googlu chránit soukromí svých uživatelů, je velká část odpovědnosti především na samotných uživatelích. Jsou to především oni, kdo musí podniknout kroky k ochraně soukromí a zabezpečení svých dat. Účelem tohoto výzkumu je motivovat uživatele, aby zvážili, které údaje a data chtějí s aplikacemi sdílet. Velká část navigačních aplikací (62 %) požaduje přístup k poloze, což už z podstaty takové aplikace dává smysl. Už tak ale nedává smysl to, proč téměř polovina z nich (48 %) požaduje přístup k fotoaparátu. Podobně je tomu i u nákupních aplikací. Pokud používají fotoaparát pro skenování QR kódů, pak to smysl dává, proč ale 87 % z nich požaduje plný přístup do knihovny fotografií? Ve většině případů se nejspíš není čeho obávat. Předpokladem je kvalitně napsaná a aktualizovaná aplikace. Ale každý takový vyžadovaný přístup, který není řádně odůvodněný, je minimálně ke zvážení.
Z analýzy vyplývá, že je zde několik kategorií, které požadují až příliš mnoho oprávnění pro čtení dat ze zařízení. Nejčastěji jsou to aplikace pro fotografie a videa, nakupování a sociální sítě. Některá oprávnění jsou citlivější a nebezpečnější než jiná a jejich míra nebezpečí se také bude lišit podle typu uživatele. Mnohem větší riziko taková aplikace bude mít pro uživatele, který v telefonu ukládá citlivá data a fotografie. Obecně je doporučeno provést kontrolu všech oprávnění aplikací, které jsou v zařízení nainstalovány.
Doporučení pro nastavení soukromí ve vašem zařízení s iOS:
Chcete-li minimalizovat riziko, že vaše citlivé informace budou vystaveny nežádoucím stranám, doporučujeme následující kroky:
- Pečlivě si přečtěte oprávnění, když se objeví. Položte si otázku: „Potřebuje tato
aplikace ke svému fungování přístup k těmto soukromým údajům?“ Pokud například
aplikace pro předpověď počasí žádá o přístup k vašemu fotoaparátu nebo knihovně
kontaktů, dvakrát si rozmyslete, než přístup aplikaci udělíte. - Pravidelně kontrolujte nastavení oprávnění aplikací, abyste zjistili, k čemu mají které
aplikace přístup. Na co se zaměřit: (1) aplikace, které již nepoužíváte (zvažte jejich
odstranění, ale pokud nemůžete, odstraňte alespoň oprávnění k citlivým údajům); (2)
aplikace, které jsou úplně nové - Pokud jde o údaje o poloze, vždy udělujte oprávnění „pouze při používání“, které je k
dispozici v systémech iOS i Android. - Odstraňte aplikace, které již nepoužíváte, abyste minimalizovali riziko výskytu chyb
ve starých nebo opuštěných aplikacích. V systémech iOS i Android jsou k dispozici
funkce, které umožňují nepoužívané aplikace odložit/odstranit.
Pokud provozujete mobilní zařízení v prostředí firmy, zvažte následující kroky:
- Přijměte bezpečnostní řešení, které nabízí prověřování aplikací. Nástroj pro
prověřování aplikací může pravidelně kontrolovat aplikace na nové a vznikající
zranitelnosti aplikací ve vašich mobilních zařízeních. Nástroje pro prověřování
aplikací mohou také poskytnout komplexní seznam aplikací, které se používají v
celém parku mobilních zařízení, doplněný o hodnocení oblíbenosti, podrobnosti o
verzích a další metadata. Právě tento druh informací pomáhá IT adminům určit, jaká
opatření je třeba přijmout k řešení rizikových, zastaralých nebo nekompatibilních
aplikací. - Udržujte ve svých zařízeních aktuální operační systém. Vzhledem k tomu, že
společnosti Apple a Google přidávají vylepšení do nastavení oprávnění, chcete
zajistit, aby je uživatelé využívali – proto používejte bezpečnostní nástroj, který
dokáže označit zastaralé verze operačního systému. - Ujistěte se, že uživatelé neprovádějí jailbreaking svých zařízení, aby si mohli
instalovat aplikace třetích stran. Nejenže aplikace třetích stran představují riziko,
protože nebyly prověřeny společností Apple nebo Google, ale jailbreak zařízení
odstraňuje ochrany zabudované v operačním systému, takže zařízení je ve velmi
rizikovém stavu.
Společnost Wandera, která provedla tuto bezpečnostní analýzu, umožňuje firmám mít svá mobilní data pod kontrolou, zajistit bezpečnost samotných zařízení a pomocí vlastního VPN řešení zajistit také bezpečný přístup uživatelů k firemním zdrojům. Díky velkému množství rozmanitých dat, které naše platforma zpracovává, dokážeme zabránit útokům v reálném čase, a předcházet problémům, jakými jsou např. phishing nebo neplánované vysoké útraty za datový roaming. Momentálně má Wandera pobočky v Brně, Londýně a San Francisku.
Na začátku července se stala Wandera součástí americké společnosti Jamf, která je lídrem v Apple enterprise řešení. Jamf tak rozšířil své produktové portfolio o ZTNA řešení Wandery.
Zdroj: Tisková zpráva