Bezpieczeństwo danych w urządzeniach mobilnych.
Obecnie każdy z nas ma do czynienia z urządzeniami mobilnymi, telefonami czy tabletami. W sklepach internetowych producentów systemów operacyjnych dostępnych w tych urządzeniach znajdują się miliony darmowych i płatnych aplikacji, które tylko czekają aż je zainstalujemy. Wybieramy aplikację i naciskami przycisk zainstaluj, po naciśnięciu przycisku wyskakuje komunikat z informacją jakie prawa w systemie operacyjnym uzyska aplikacja po jej zainstalowaniu. Po co kalkulatorowi w smartfonie dostęp do Internetu? Odpowiedź jest prosta, nie jest w ogóle potrzebny. Czy nasze prywatne dane przechowywane w telefonie są bezpieczne? Chcemy zainstalować kalkulator, a okazuje się, że wymaga on uprawnienia dostępu do Internetu (tzn. że będzie mógł łączyć się z Internetem w dowolnym momencie i przesyłać dane z telefonu i do telefonu).
Posłużę się tutaj przykładem androida, uruchamiamy „Sklep Play”, wpisujemy w wyszukiwarkę „kalkulator naukowy” wybieramy jedną z aplikacji i klikamy „Zainstaluj”, okazuje się, że wymagane uprawnienia to „Połączenia sieciowe – Pełen dostęp do internetu”. Do czego kalkulatorowi połączenie do internetu, przecież wszelkie operacje na kalkulatorze wykonywane są na urządzeniu mobilnym, a nie na serwerze. Istnieje wiele powodów, przedstawię dwa. Kalkulator wyświetla reklamy, aby to robić musi pobierać zawartość reklam z serwera i wyświetlać na ekranie, dodatkowo przesyła statystyki uruchomienia reklam na serwer zewnętrzny. Inna możliwość, to producent aplikacji zbiera dane statystyczne użycia aplikacji i profile użytkowników. Trzeba zaznaczyć, że w każdym przypadku przesyłania danych z telefonu producent aplikacji mobilnej musi jasno opisać zasady i poinformować o tym użytkowników. Regulamin sklepu google play nakazuje takie postępowanie. Głównym celem zbierania danych statystycznych przez producenta jest udoskonalenie swojej aplikacji i pozyskanie nowych klientów. Nie ma w tym nic zakazanego, pod warunkiem oczywiście poinformowania przyszłych użytkowników.
Popularne platformy do zbierania danych statystycznych to „google analytics” i „flurry analytics”. Jakie dane mogą się być przesyłane z telefonu na serwer. Poniżej zrzut ekranu z „google analytics”.
Rysunek 1 Google analytics – statystyka rodzajów urządzeń mobilnych
Jak widać z rysunku nr 1 można sprawdzić na jakich telefonach zainstalowana jest nasza aplikacja łącznie ze średnim czasem użytkowania aplikacji. Samsung Galaxy Note to urządzeń na którym najczęściej korzysta się z aplikacji z przykładu.
Co jeszcze można pozyskać z danych statystycznych.
Rysunek 2 Google analytics – geolokalizacja użytkowników
Na rysunku nr 2 widać z jakich krajów użytkownicy najczęściej korzystają z aplikacji. W tym przypadku są to Indie.
„Flurry analytics” działa na podobnych zasadach, pozwala dostarczać dane statystyczne o użyciu aplikacji.
Rysunek 3 Flurry analytics – wiek użytkowników
Rysunek nr 3 to statystyki prawdopodobnego wieku użytkowników zainstalowanej aplikacji. Platformy analityczne dostarczają jeszcze masę innych informacji, programista zaszywa w kodzie aplikacji odpowiednie „wyzwalacze”, które mogą rejestrować nasze działania w aplikacji, mogą śledzić nasze kroki, co po kolei naciskamy i co wpisujemy w aplikacji. Wszystko byłoby dobrze gdyby nie jedno małe ale, producent aplikacji może zbierać dane daleko wykraczające poza dane statystyczne. Nie stanowi żadnego problemu dla producenta pozyskanie numeru telefonu, numeru aparatu telefonicznego i przesłanie tych danych na swój serwer. Niektóre aplikacje poza uprawnieniami dostępu do internetu podczas instalacji, żądają także innych uprawnień np. „Połączenia telefoniczne – odczytywanie stanu i informacji o telefonie”, „Twoja lokalizacja – dokładna lokalizacja GPS”, „Twoja lokalizacja – przybliżone ustalanie lokalizacji oparte o sieć”, „Pamięć – modyfikowanie/usuwanie zawartości karty SD”.
Każdy z nas musi zadać sobie pytanie czy jestem w stanie narazić swoją prywatność i zainstalować grę lub aplikację, która wymaga uprawnień przekraczających zdroworozsądkowe działania takiej aplikacji. Przytoczę opis jednego z uprawnień, które wymaga poważnego zastanowienia się przed instalacją: „Połączenia telefoniczne – odczytywanie stanu i informacji o telefonie: Umożliwia aplikacji dostęp do funkcji telefonu w tym urządzeniu. Aplikacja z takim pozwoleniem może określić numer telefonu i numer seryjny tego telefonu, czy aktywne jest połączenie, numer, z którym nawiązane jest połączenie itp.” Proszę sobie odpowiedzieć na pytanie: dlaczego aplikacja chce posiadać takie uprawnienia. Jaki jest sens przekazywanie tak wrażliwych danych.
Trochę statystyki, 26 % aplikacji w sklepie google play ma dostęp do prywatnych danych użytkowników telefonów, 25 % zidentyfikowano jako podejrzanie zachowujące się, 72 % aplikacji przy instalacji prosi o pozwolenie na „uprawnienie”, które stwarza potencjalne ryzyko naruszenia bezpieczeństwa.
Najczęściej użytkownicy wyrażają zgodę dla instalowanych aplikacji posiadających następujące uprawnienia:
- 42 % dla uprawnienia „Twoja lokalizacja – dokładna lokalizacja GPS”
- 31 % dla uprawnienia „Połączenia telefoniczne – odczytywanie stanu i informacji o telefonie”
- 26 % posiada dostęp do prywatnych danych
- 9 % używa uprawnień mogących generować koszty finansowe
- 1 % ma dostęp do danych z konta bankowego
Jakie są wnioski. Przede wszystkim należy z rozwagą instalować nowe aplikacje, zwracając uwagę jakich uprawnień żądają. Jeżeli decydujemy się na instalacje zalecane jest aby była to aplikacja ze sklepu google play, wystrzegamy się aplikacji pochodzących z niezaufanych źródeł. Ryzykowne jest także używanie urządzeń, które posiadają tzw. uprawnienia roota. Prawo takie pozwala na nieograniczony dostęp do wrażliwych danych. Łatwiej jest wtedy zainfekować je złośliwym oprogramowaniem. Stosuj podstawowe zasady bezpieczeństwa, wprowadź bezpieczną blokadę ekranu, zastosuj zdalne lokalizowanie telefonu w przypadku kradzieży. Korzystaj z szyfrowania danych.