211service.com
Apps detecteren die uw gegevens lekken
Een van de redenen waarom smartphones en smartphone-apps zo handig zijn, is dat ze nauw kunnen worden geïntegreerd in ons persoonlijke leven. Maar dat brengt ook onze persoonsgegevens in gevaar.
Een nieuwe dienst genaamd Mobiel bereik hoopt daar verandering in te brengen door een smartphonegebruiker alle gegevens die apps overbrengen te laten onderzoeken en hem te waarschuwen wanneer gevoelige informatie, zoals zijn naam of e-mailadres, wordt overgedragen.
Het is een platformonafhankelijke onderscheppingstool die je kunt gebruiken op je Android-, iOS-, Blackberry- of Windows-apparaat, zegt Ashkan Soltani , een onafhankelijke privacyonderzoeker die Mobilescope heeft gemaakt met collega-onderzoekers David Campbell en Aldo Cortesi .
Hun eerste proof-of-concept won een prijs voor de beste app gemaakt tijdens een op privacy gerichte programmeerwedstrijd, of codeathon, georganiseerd door de Wall Street Journal in april van dit jaar; het trio heeft het nu voldoende gepolijst om een bèta-proefperiode te openen. Toegang wordt gestaag uitgerold naar de paar duizend mensen die al hebben ingeschreven , zegt Soltani.
Zodra een persoon zich heeft aangemeld voor de service, is Mobilescope toegankelijk via een website, niet als een app die op een apparaat is geïnstalleerd. Een gebruiker kan de site gebruiken om logboeken te bekijken van de gegevens die door de apps op hun apparaat worden overgedragen. Ze kunnen ook kanaries specificeren, stukjes gevoelige informatie zoals een telefoonnummer, e-mail of naam die een waarschuwing activeren als ze door een app worden verzonden.
Mobilescope kan apps betrappen die dingen doen zoals het kopiëren van iemands adresboek naar een externe server, zoals Path en verschillende andere mobiele apps eerder dit jaar bleken te doen. Soltani zegt dat de dienst bedoeld is om het speelveld tussen mobiele apps en de mensen die ze gebruiken gelijk te maken door gebruikers te voorzien van meer informatie over wat die apps doen. Zoals duidelijk werd toen verschillende populaire apps eerder dit jaar werden betrapt op het stilletjes kopiëren van contactgegevens van gebruikers, bieden de mobiele besturingssystemen van Apple noch Google mensen momenteel veel inzicht in of controle over wat apps delen (zie Apple negeerde waarschuwing over toegang tot adresboek) .
Onze focus ligt op het heel eenvoudig maken van het onderscheppingsproces, zegt Soltani. Als u geen geavanceerde gebruiker bent, kunt u nog steeds bij deze gegevens komen met Mobilescope.
Wanneer een persoon zich aanmeldt voor Mobilescope, wordt een configuratiebestand naar zijn apparaat gestuurd. Eenmaal geïnstalleerd, zorgt dit bestand ervoor dat al het toekomstige internetverkeer via een Mobilescope-server wordt geleid, zodat het de gegevens kan analyseren die naar het apparaat en de apps komen en gaan. Die regeling is mogelijk dankzij de manier waarop smartphones zijn ontworpen om compatibel te zijn met VPN's of virtuele privénetwerken - versleutelde communicatie die sommige bedrijven gebruiken om bedrijfsgegevens privé te houden. Dat ontwerp voegt niet veel vertraging toe aan de verbinding van een persoon, zegt Soltani, deels omdat gebruikers verbonden zijn met een server die geografisch zo dicht mogelijk bij hen ligt.
Mobilescope kan zelfs gegevens onderzoeken die worden verzonden via de meest voorkomende soorten beveiligde verbindingen die worden gebruikt door apps, vergelijkbaar met die van bankwebsites, door de betrokken certificaten te onderscheppen. De service kan andere gegevens niet ontsleutelen, maar Soltani zegt dat maar weinig apps de moeite nemen om versleuteling te gebruiken. Gegevens die door Mobilescope worden verzameld, worden na elke gebruikssessie weggegooid en worden alleen opgeslagen op het eigen apparaat van een persoon.
Soltani zegt dat hij niet denkt dat Mobilescope de massale aantrekkingskracht zal hebben van iets als Angry Birds, maar hij hoopt dat het journalisten, activisten en gewone smartphonebezitters zal aanmoedigen om te onderzoeken wat apps doen, en zal helpen om app-ontwikkelaars meer onder druk te zetten om privacy respecteren. Toegevoegde transparantie voor iedereen - app-ontwikkelaars, gebruikers, regelgevers - zal het hele mobiele ecosysteem helpen.
Een eerdere versie van Mobilescope gaf gebruikers de mogelijkheid om nepgegevens naar bepaalde apps te sturen, bijvoorbeeld door een spooflocatie te verzenden. We moesten dat eruit halen omdat het ecosysteem er nog niet klaar voor is, zegt Soltani, die zegt dat dit sommige apps kapot maakte, soms op manieren die andere gebruikers zouden kunnen schaden. Een apart project maakt die tactiek wel beschikbaar voor Android-gebruikers die een aangepaste versie van hun besturingssysteem willen gebruiken (zie Hun app gebruiken, Bewaar uw gegevens).
In april, Xuxian Jiang , een universitair hoofddocent aan de North Carolina State University, een onderzoek gepubliceerd waaruit blijkt dat de advertentiesystemen in veel Android-apps de privacy van gebruikers in gevaar brengen. Ongeveer de helft van deze systemen bewaakt de GPS-locatie van een gebruiker en sommige verzamelen ook oproeplogboeken en andere gevoelige gegevens (zie Android-advertenties kunnen aanvallen, Studiewaarschuwingen).
Jiang, die andere beveiligings- en privacyfouten met mobiele apps heeft ontdekt, zei dat Mobilescope een interessante nieuwe tool zal zijn om apps in de gaten te houden. Hij voegt er echter aan toe dat niet gegarandeerd kan worden dat alles wordt opgevangen, en zegt dat mobiele privacy alleen kan worden verbeterd met meer transparantie van ontwikkelaars, verbeterde privacyverklaringen en actie van de makers van mobiele besturingssystemen. [We] hebben mechanismen nodig waarmee gebruikers de toegang van apps tot verschillende persoonlijke informatie daadwerkelijk kunnen controleren, zegt hij.
Justin Brookman , die de privacyactiviteiten van consumenten leidt bij het Center for Democracy and Technology, zegt dat hiervoor wetswijzigingen nodig zijn, die momenteel bedrijven eenvoudigweg aanmoedigen om een zeer breed privacybeleid te schrijven om de straffen voor het schrijven van valse te vermijden.
Gedetailleerde onthullingen worden eigenlijk afgeschrikt door de wet, zegt hij. De CDT probeert wetgeving in te voeren die in plaats daarvan vereist dat bedrijven consumenten expliciet vertellen wat er met hun gegevens gebeurt, en hen meer controle hierover te geven.