7 Dalam Aplikasi Smartphone 10 Kongsi Data Anda Dengan Perkhidmatan Pihak Ketiga

7 Dalam Aplikasi Smartphone 10 Kongsi Data Anda Dengan Perkhidmatan Pihak Ketiga
Foto dari telefon pintar geotagged walaupun pengguna tidak menyedari. Pengguna telefon pintar boleh menyesuaikan tetapan privasi mereka untuk mengehadkan siapa yang boleh melihat lokasi geotag mereka. (Photo Credit: US Army Graphic)

Telefon bimbit kami boleh mendedahkan banyak tentang diri kita sendiri: di mana kita hidup dan bekerja; yang keluarga, kawan dan kenalan kami; bagaimana (dan juga apa) kita berkomunikasi dengan mereka; dan tabiat peribadi kami. Dengan semua maklumat yang disimpan pada mereka, tidak menghairankan bahawa pengguna peranti mudah alih mengambil langkah untuk melindungi privasi mereka, seperti menggunakan PIN atau kod laluan untuk membuka kunci telefon mereka.

Penyelidikan yang kami dan rakan-rakan kami lakukan mengenal pasti dan meneroka ancaman penting yang kebanyakan orang terlepas: Lebih daripada 70 peratus of aplikasi telefon pintar melaporkan data peribadi kepada syarikat penjejakan pihak ketiga seperti Google Analytics, Facebook Graph API atau Crashlytics.

Apabila orang memasang apl Android atau iOS baru, ia meminta kebenaran pengguna sebelum mengakses maklumat peribadi. Secara umumnya, ini positif. Dan beberapa maklumat yang dikumpul oleh aplikasi ini diperlukan untuk mereka berfungsi dengan betul: Aplikasi peta tidak semestinya berguna jika tidak dapat menggunakan data GPS untuk mendapatkan lokasi.

Tetapi sebaik sahaja aplikasi mempunyai kebenaran untuk mengumpul maklumat itu, ia boleh berkongsi data anda dengan sesiapa sahaja pemaju aplikasi mahu - membiarkan syarikat pihak ketiga menjejaki tempat anda, berapa cepat anda bergerak dan apa yang anda lakukan.

Bantuan, dan bahaya, perpustakaan kod

Aplikasi tidak hanya mengumpul data untuk digunakan pada telefon itu sendiri. Aplikasi pemetaan, sebagai contoh, menghantar lokasi anda ke pelayan yang dijalankan oleh pemaju aplikasi untuk mengira arah dari tempat anda ke destinasi yang dikehendaki.

Aplikasi ini boleh menghantar data ke tempat lain juga. Seperti laman web, banyak aplikasi mudah alih ditulis dengan menggabungkan pelbagai fungsi, didasarkan oleh pemaju dan syarikat lain, dalam apa yang dipanggil perpustakaan pihak ketiga. Perpustakaan ini membantu pemaju menjejaki penglibatan pengguna, berhubung dengan media sosial dan dapatkan wang dengan memaparkan iklan dan ciri-ciri lain, tanpa perlu menulis dari awal.

Walau bagaimanapun, sebagai tambahan kepada bantuan berharga mereka, kebanyakan perpustakaan juga mengumpulkan data sensitif dan menghantarnya ke pelayan dalam talian mereka - atau kepada syarikat lain sama sekali. Penulis perpustakaan yang berjaya mungkin dapat mengembangkan profil digital pengguna terperinci. Sebagai contoh, seseorang mungkin memberikan kebenaran aplikasi untuk mengetahui lokasi mereka, dan akses aplikasi lain ke kenalan mereka. Ini adalah permulaan yang berasingan, satu kepada setiap aplikasinya. Tetapi jika kedua-dua aplikasi menggunakan perpustakaan pihak ketiga yang sama dan berkongsi maklumat yang berbeza, pemaju perpustakaan boleh menghubungkan kepingan bersama.

Pengguna tidak akan tahu, kerana aplikasi tidak dikehendaki memberitahu pengguna apa perpustakaan perisian yang mereka gunakan. Dan hanya sebilangan kecil aplikasi yang membuat awam dasar mereka mengenai privasi pengguna; jika mereka melakukannya, ia biasanya dalam dokumen undang-undang yang panjang orang biasa tidak akan membaca, apalagi memahami.

Membangunkan Lumen

Penyelidikan kami bertujuan untuk mendedahkan berapa banyak data yang berpotensi dikumpulkan tanpa pengetahuan pengguna, dan memberi pengguna lebih banyak kawalan ke atas data mereka. Untuk mendapatkan gambaran tentang apa data dikumpulkan dan dihantar dari telefon pintar orang, kami membangunkan aplikasi Android percuma kami sendiri, yang dipanggil Monitor Privasi Lumen. Ia menganalisis aplikasi lalu lintas yang dihantar, untuk melaporkan aplikasi dan perkhidmatan dalam talian secara aktif menuai data peribadi.

Kerana Lumen adalah mengenai ketelusan, pengguna telefon dapat melihat aplikasi yang dipasang aplikasi yang dikumpulkan dalam waktu nyata dan dengan siapa mereka berkongsi data ini. Kami cuba memaparkan butiran kelakuan tersembunyi aplikasi dengan cara yang mudah difahami. Ia juga mengenai penyelidikan, jadi kami meminta pengguna jika mereka akan membenarkan kami mengumpul beberapa data tentang apa yang dilakukan oleh Lumen untuk menjalankan aplikasinya - tetapi itu tidak termasuk apa-apa data peribadi atau sensitif privasi. Akses unik ke data ini membolehkan kami untuk mengkaji bagaimana aplikasi mudah alih mengumpul data peribadi pengguna dan dengan siapa mereka berkongsi data pada skala yang belum pernah terjadi sebelumnya.

Khususnya, Lumen mengesan aplikasi mana yang dijalankan pada peranti pengguna, sama ada mereka menghantar data yang sensitif privasi keluar dari telefon, laman web yang mereka hantar data ke, protokol rangkaian yang mereka gunakan dan jenis maklumat peribadi setiap aplikasi hantar ke setiap laman web. Lumen menganalisis lalu lintas apl secara setempat pada peranti dan menyamaratakan data ini sebelum menghantarnya kepada kami untuk belajar: Jika Google Maps mendaftarkan lokasi GPS pengguna dan menghantar alamat khusus itu ke maps.google.com, Lumen memberitahu kami, "Peta Google mendapat Lokasi GPS dan hantar ke maps.google.com "- bukan di mana orang itu sebenarnya.

Penjejak adalah di mana-mana sahaja

Lebih daripada orang 1,600 yang telah menggunakan Lumen sejak Oktober 2015 membenarkan kami menganalisis lebih daripada aplikasi 5,000. Kami menemui laman internet 598 yang mungkin menjejaki pengguna untuk tujuan pengiklanan, termasuk perkhidmatan media sosial seperti Facebook, syarikat internet besar seperti Google dan Yahoo, dan syarikat pemasaran dalam talian di bawah payung penyedia perkhidmatan internet seperti Verizon Wireless.

Kami mendapati bahawa lebih daripada 70 peratus daripada aplikasi yang kami pelajari disambungkan kepada sekurang-kurangnya satu pelacak, dan 15 peratusnya disambungkan kepada lima atau lebih pelacak. Satu dalam setiap empat pelacak menuai sekurang-kurangnya satu pengecam peranti yang unik, seperti nombor telefon atau yang nombor IMEI digit 15 yang khusus peranti. Pengenal unik adalah penting untuk perkhidmatan pengesanan dalam talian kerana mereka boleh menyambungkan pelbagai jenis data peribadi yang disediakan oleh aplikasi yang berbeza untuk satu orang atau peranti. Kebanyakan pengguna, walaupun privasi yang bijak, tidak menyedari amalan yang tersembunyi itu.

Lebih daripada sekadar masalah mudah alih

Penjejakan pengguna pada peranti mudah alih mereka hanyalah sebahagian daripada masalah yang lebih besar. Lebih separuh dari pelacak app yang kami kenali juga menjejaki pengguna melalui laman web. Terima kasih kepada teknik ini, yang dipanggil "merentas peranti" pengesanan, perkhidmatan ini boleh membina profil yang lebih lengkap mengenai persona dalam talian anda.

Dan tapak pengesanan individu tidak semestinya bebas dari orang lain. Sebahagian daripada mereka dimiliki oleh entiti korporat yang sama - dan yang lain dapat ditelan dalam penggabungan masa depan. Sebagai contoh, Alphabet, syarikat induk Google, memiliki beberapa domain penjejakan yang kami pelajari, termasuk Google Analytics, DoubleClick atau AdMob, dan melalui mereka mengumpulkan data daripada lebih daripada 48 peratus daripada aplikasi yang kami pelajari.

Identiti dalam talian pengguna tidak dilindungi oleh undang-undang negara asal mereka. Kami mendapati data dihantar ke seluruh sempadan negara, yang sering berakhir di negara-negara yang mempunyai undang-undang privasi yang boleh dipersoalkan. Lebih daripada 60 peratus sambungan ke tapak pengesanan dibuat kepada pelayan di AS, UK, Perancis, Singapura, China dan Korea Selatan - enam negara yang telah menggunakan teknologi pengawasan massa. Agensi-agensi kerajaan di tempat-tempat tersebut berpotensi mempunyai akses kepada data ini, walaupun pengguna berada negara dengan undang-undang privasi yang lebih kuat seperti Jerman, Switzerland atau Sepanyol.

Menyambungkan alamat MAC peranti ke alamat fizikal (milik ICSI) menggunakan Wigle.
Menyambungkan alamat MAC peranti ke alamat fizikal (milik ICSI) menggunakan Wigle. ICSI, CC BY-ND

Lebih teruk lagi, kami telah memerhatikan pelacak dalam aplikasi yang disasarkan kepada kanak-kanak. Dengan menguji aplikasi anak-anak 111 di makmal kami, kami melihat bahawa 11 membocorkan pengenal unik, Alamat MAC, dari penghala Wi-Fi ia disambungkan ke. Ini masalah, kerana mudah cari dalam talian untuk lokasi fizikal yang dikaitkan dengan alamat MAC tertentu. Mengumpulkan maklumat peribadi tentang kanak-kanak, termasuk lokasi, akaun dan pengenal unik lain, yang berpotensi melanggar Suruhanjaya Perdagangan Persekutuan peraturan yang melindungi privasi kanak-kanak.

Hanya kelihatan kecil

Walaupun data kami termasuk banyak aplikasi Android yang paling popular, ia adalah contoh kecil pengguna dan aplikasi, dan oleh itu kemungkinan satu set kecil dari semua pelacak yang mungkin. Penemuan kami mungkin hanya menggaru permukaan apa yang mungkin menjadi masalah yang jauh lebih besar yang merentasi bidang kuasa peraturan, peranti dan platform.

Sukar untuk mengetahui apa yang pengguna boleh lakukan tentang perkara ini. Menyekat maklumat sensitif daripada meninggalkan telefon boleh menjejaskan prestasi apl atau pengalaman pengguna: Aplikasi mungkin menolak berfungsi jika tidak dapat memuatkan iklan. Sebenarnya, menyekat iklan menyakiti pemaju aplikasi dengan menafikan mereka sebagai sumber pendapatan untuk menyokong kerja mereka pada aplikasi, yang biasanya bebas untuk pengguna.

Sekiranya orang lebih bersedia untuk membayar pemaju untuk aplikasinya, itu boleh membantu, walaupun ia bukan penyelesaian lengkap. Kami mendapati bahawa walaupun aplikasi berbayar cenderung untuk menghubungi tapak pengesanan yang lebih sedikit, mereka masih melacak pengguna dan berhubung dengan perkhidmatan penjejakan pihak ketiga.

PerbualanKetelusan, pendidikan dan rangka kerja pengawalseliaan yang kuat adalah kunci. Pengguna perlu mengetahui maklumat mengenai mereka yang dikumpulkan, oleh siapa, dan apa yang digunakan. Hanya dengan itu kita boleh sebagai masyarakat menentukan apa perlindungan privasi yang sesuai, dan meletakkannya di tempat. Penemuan kami, dan penyelidik lain, boleh membantu menghidupkan jadual dan menjejaki pelacak itu sendiri.

Mengenai Pengarang

Narseo Vallina-Rodriguez, Profesor Penolong Penyelidik, IMDEA Networks Institute, Madrid, Sepanyol; Penyelidik Saintis, Rangkaian dan Keselamatan, Institut Sains Komputer Antarabangsa berasaskan, Universiti California, Berkeley dan Srikanth Sundaresan, Felo Penyelidik dalam Sains Komputer, Universiti Princeton

Artikel ini pada asalnya diterbitkan pada Perbualan. Membaca artikel asal.

Buku berkaitan:

{amazonWS: searchindex = Books; keywords = privacy internet; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

ikuti InnerSelf pada

icon-facebooktwitter-iconrss-icon

Dapatkan Yang Terbaru Dengan E-mel

{Emailcloak = mati}