כדי להגן מפני התנהגות זדונית, אפליקציות הפועלותדְמוּי אָדָםטלפונים חכמים חייבים לבקש בנימוס רשות לעשות דברים כמו גישה למידע האישי שלך, מעקב אחר מיקומך או העברת נתונים דרך האינטרנט. אבל ברגע שיש להם אישור, האפליקציות האלה יכולות לחלוק את ההרשאות עם ספריות הפרסום שבהן הן משתמשות כדי להציג מודעות, וליצור פרצות פוטנציאליות חמורות של פרטיות ואבטחה, מצאו חוקרים.
סירוק בין 100,000 אפליקציות שנבחרו באקראיGoogle Play(ה-Android Market לשעבר), צוות חוקרים מאוניברסיטת צפון קרוליינה סטייט מצא ש-48,139 מספריות המודעות ששימשו את האפליקציות הללו עקבו אחר מיקום ה-GPS של המשתמש; 18,575 עקבו אחר זהות הטלפון (שלומספר IMEI); 4,190 מאפשרים למפרסמים לעקוב אחר המשתמש באמצעות GPS; ו-4,047 ניגשו למספר הטלפון של המכשיר.
קיימות עשרות "ספריות מודעות" כאלה, המייצרות מודעות על המסך עם האפליקציות המשויכות. כאשר אתה לוחץ על מודעה, יצרן האפליקציות מקבל עמלה. אחת מהספריות הללו, המכונה energysource, משתמשת בשיטה לא מאובטחת לטעינת קוד מהאינטרנט, אומר Xuxian Jiang, הפרופסור מצפון קרוליינה שהוביל את המחקר, שפורסם בתורנְיָרשיוצג ב אוְעִידָהבטוסון בחודש הבא. למרות שהחוקרים לא זיהו התנהגות זדונית מהאפליקציה, הם אמרו שהיא מהווה איום אבטחה פשוט על ידי מתן אפשרות להוריד ולהפעיל קוד.
מתוך 100,000 אפליקציות, 297 הכילו קוד מודעה שאפשר לטלפון להריץ קוד שהורדו מהאינטרנט, מה שמספק נתיב פוטנציאלי לתוכנה זדונית להיכנס למכשיר. "אם לאפליקציה שלך יש הרשאה לגשת למידע אישי, לספריית המודעות יש גם הרשאה לגשת למידע שלך", אומר ג'יאנג.
המחקר בצפון קרוליינה הוא רק העדות האחרונה לפעריםבִּטָחוֹןוחורי פרטיות בטלפונים חכמים. באפריל של השנה שעברה, נמצאו מכשירי אייפון ומכשירי אנדרואיד שעוקבים אחר מיקומי המשתמשים באופן אוטומטי. ואז, בדצמבר, התגלו התקני טלפון חכמים אלה ואחרים נושאים תוכנת אבחון שגם היאעוקב אחר מגוון רחב של מידע משתמש. לאחרונה, התגלה שגם מכשירי אייפון וגם מכשירי אנדרואידלשתף את פנקסי הכתובות של המשתמשיםומידע אחר עם אפליקציות. ומקרים של תוכנות זדוניות לניידעלו.
הממצאים החדשים מצביעים על פגם במודל העסקי מאחורי אפליקציות, אומר ג'יאנג. מפתחים מסתמכים על הכנסות מספריות מודעות כדי לתמוך באפליקציות חינמיות, אבל אין להם שליטה על מה שהספריות האלה עושות. "המודל הנוכחי של הטמעת ספריות מודעות באפליקציות לנייד למטרות מונטיזציה מהווה סיכוני אבטחה ופרטיות. לספריות המודעות הללו תהיה בעצם אותה קבוצה של הרשאות שניתנו לאפליקציות המקיפות אותן. וספריות מודעות מסוימות עשויות להשתמש בהן לרעה למטרות לא רצויות אחרות. ."
יצרניות מכשירים ניידים צריכות לספק דרכים לבודד את השניים, אומר ג'יאנג, כך שהמודעות יוצגו בנפרד מהאפליקציות המארחות - וידרשו הרשאות מפורשות נפרדות. "ישנן חששות בסיסיים באופן שבו מייצרים רווחים של אפליקציות סלולריות", הוא מוסיף.
