Prisen for gratis Android-apps kan være dit privatliv

Gratis telefonapps leveres med bagage. Den bagage, jeg henviser til, er reklamer, der er arvet med appen, som en måde at kompensere for, at appen er gratis.

Jeg lader andre diskutere, om det at acceptere reklame er en fair bytte for en gratis app eller ej. Jeg er mere bekymret over, hvad der blev afsløret i forskningsdokumentet: "Usikker eksponering af mobile in-app-annoncer." Dr. Xuxian Jiang og hans produktive forskerteam har fundet foruroligende information om gratis apps designet til Android-operativsystemet.

Jeg har skrevet så mange artikler med Dr. Jiangs hjælp, at jeg bare sender spørgsmålene til ham, og han giver elskværdig svarene. Så lad os komme til det.

Kassner : Jeg undgår apps, der inkluderer annoncering - de er irriterende og tømmer min telefons batteri. Fra dit papir ser det ud til, at dette skulle være det mindste af mine bekymringer. Vil du beskrive, hvad du har afsløret? Jiang : Annoncer i appen kan udgøre privatlivets fred og sikkerhedsrisici. Nogle integrerede in-app-biblioteker indsamler personlige oplysninger, der er gemt på telefonen, hvilket muligvis ikke er berettiget til reklameformål. Nogle annoncebiblioteker har kapacitet til indlæsning af dynamisk kode, der ofte misbruges af eksisterende malware for at undslippe detektion. Kassner : Noget pusler mig. I papiret hedder det:

"Selvom annoncebiblioteker kommer fra en anden udvikler og har andre intentioner end deres hosting-apps, har de samme tilladelser."

Jeg tror ikke, mange mennesker er klar over, at in-app-annoncer har den samme tilladelse som appen. Det gjorde jeg bestemt ikke. Hvordan er det muligt?

Jiang : Under installationen, når de bliver bedt om at kontrollere listen over tilladelser, som appen anmoder om, tænker brugerne typisk kun på host-appen. Imidlertid får annoncebiblioteker de samme tilladelser som appen.

Dette skyldes en mangel på isolering - på Android-platformniveau - der adskiller annoncebibliotekerne fra værtsappen. Den vigtigste motivation bag vores undersøgelse er at argumentere for en isolationsmekanisme. Det er også vores håb, at mobil-platformudbydere kan tage føringen med at skabe den krævede adskillelse.

Kassner : Så det er derfor, in-app-annoncer kan downloade og udføre kode. Skræmmende. Denne evne omgås også enhver beskyttelse, der ydes ved sandkasse. Noget andet læste jeg i NCSU-nyhedsmeddelelsen:

"4.190 apps brugte annoncebiblioteker, der gjorde det muligt for annoncører selv at få adgang til en brugers placering via GPS."

Så udover at udføre kode, kunne en annonce aktivere telefonens GPS uden brugertilladelse eller viden?

Jiang : Det er ikke helt nøjagtigt. Annoncer indbygget i apps med placeringstilladelse kan få adgang til en brugers placering via GPS, forudsat at GPS'et er tændt. Jeg tror faktisk, at aktivering af GPS kræver en anden tilladelse. Kassner : Det er gode nyheder; i det mindste kontrollerer vi stadig GPS'en. Jeg kan huske, at jeg skrev om den tilladte tilladelse med William Francis. Jeg ser, at dit team endnu engang har opbygget et værktøj - AdRisk - til at automatisere din analyse.

Vil du kort forklare, hvad AdRisk gør?

Jiang : Værktøjet ser efter mistænkelige (forkerte) anvendelser af potentielt farlige Android-tilladelser og rapporterer den tilsvarende eksekveringssti, som derefter verificeres. Kassner : Med denne angrebsvektor nu bevist, hvad er din største bekymring? Jiang : Den største bekymring er, at der ikke er nogen nem løsning. Ændringer i den aktuelle app-monetiseringsmodel og platformen kan være påkrævet. Og hvis det sker, skal appudviklere pålægges at inkorporere ændringerne, når der bruges in-app-annoncer. Kassner : Det ser ud til, at ikke det at bruge gratis apps med in-app-reklame er vores eneste anvendelse. Er der andre løsninger? Jiang : Lige nu er det den eneste mulighed. I fremtiden kan en løsning være at certificere sikker anvendelse af eksisterende annoncebiblioteker. Hvis apps kun inkluderer certificerede annoncebiblioteker, kan de bestemt betragtes som sikre at bruge. Kassner : Tak Dr. Jiang for din indsigt og solide forskning. Min Android-efterforskningspartner, William Francis, er enig og nævner:

"Dr. Jiang er så grundig teknisk; der er aldrig nogen, der bestrider hans konklusioner. Det eneste problem, jeg nogensinde har med hans fund, er, at de nogle gange er i modstrid med min levebrød."

Denne kommentar udløste min journalistiske knap. Jeg spurgte William, hvad han mente.

Francis : Det handler om kliktællinger. Jo flere mennesker der klikker på annoncerne, der vises i en app, desto flere penge tjenes appudvikleren og annoncenetværket. Så det er vigtigt at individualisere annoncer for hver bruger. Det betyder at vide så meget som muligt om brugeren - for eksempel interesser og placering.

Jeg forsvarer ikke annoncerne eller Android-tilladelsessystemet. Jeg tror, ​​at der bestemt skal være mere sikre, finere kontroller og tilsyn. Jeg påpeger bare, at - generelt - appudviklere og annoncenetværks ejere ikke sidder i et laboratorium et eller andet sted og tænker på diaboliske måder at krænke brugernes privatliv.

De fokuserer på at forsøge at få det bedste ud af et udviklende marked, der opererer inden for stramme økonomiske parametre. Det betyder ikke, at der ikke er onde derude, der venter på at udnytte disse nye muligheder. Vi ved alle, at der er.

Annoncering i appen repræsenterer et vanskeligt scenario, og det er teknisk udfordrende at løse det til alles tilfredshed. Det er også et relativt nyt problem, og som sådan tror jeg, at tiden vil blive udarbejdet. Det, vi håber, er, at det bliver udarbejdet gennem intelligente diskussioner brændt af forfattere som dig og forskere som Dr. Jiang.

Alternativet til nogle høje profilerede tilfælde af misbrug ville være dårligt for alle, der er involveret i markedet for smarttelefoner og apper, herunder forbrugere.

Endelige tanker

Hvorvidt en app får de anmodede tilladelser eller ej, er i sidste ende vores valg. Indtil for nylig havde jeg ikke noget problem med det. Jeg kunne undersøge appen og dens udvikler - så beslutte det. Der er tilsyneladende mere ved det og skjult for vores opfattelse.

En hjertelig følelse tak til Xuxian, hans forskerteam og William for deres eksperthjælp med at belyse dette kontroversielle emne.

© Copyright 2021 | mobilegn.com