Szacuje się, że przeciętny użytkownik urządzenia mobilnego posiada zainstalowanych od 60 do nawet 90 aplikacji. Większość z nich do uruchomienia wymaga dostępu do konkretnych funkcji smartfona tj. aparat, pamięć czy geolokalizacja. Sprawdź czy i jakie dane zbierają o Tobie aplikacje zainstalowane na Twoim smartfonie z Androidem oraz na co zwracać uwagę instalując nowe oprogramowanie.
Czy aplikacje mobilne na system Android są bezpieczne?
Mimo, że o zainstalowaniu nowej aplikacji decyduje użytkownik smartfona, często jest on nieświadomy zakresu dostępów udzielonych oprogramowaniu mobilnemu. Według badania wykonanego przez eksperta ds. cyberbezpieczeństwa – firmy Symantec (znanej m.in. z antywirusa Norton) pośród aplikacji na Androida:
- aż 45% wymaga dostępu do lokalizacji urządzenia użytkownika;
- aż 46% wymaga dostępu do kamery smartfona;
- 25% wymaga dostępu do nagrywania audio;
- 15% wymaga wglądu do wiadomości SMS;
- 10 % wymaga dostępu do historii połączeń*;
*Badania przeprowadzone przez firmę Symantec 3 maja 2018, bazujące na analizie TOP 100 aplikacji umieszczonych w Google Play i iTunes.
Płatne i bezpłatne aplikacje mobilne posiadają często więcej uprawnień niż niezbędne minimum potrzebne do efektywnego działania. Przez taki, a nie inny zakres dostępów korzystanie z nich jest zawsze w pełni bezpieczne, co również wpływa na wydajność samego urządzenia mobilnego. Powyższy przykład to najczęściej nadawane uprawnienia, jednak takich sytuacji i sposobów na pozyskanie danych od użytkowników jest znacznie więcej.
W jaki sposób smartfony z systemem Android zbierają dane?
Telefony komórkowe z system Android zbierają dane na trzech płaszczyznach:
- systemu operacyjnego;
- przeglądarki internetowej;
- zainstalowanych aplikacji.
Każda z tych płaszczyzn działa nieco inaczej i również niejednoznacznie jest ona widoczna dla użytkownika końcowego. O ile pierwsze uruchomienia aplikacji kończą się zazwyczaj na „pozwoleniu” na uzyskanie dostępu, tak nie jest jasne co i kiedy zbierają uruchomione już aplikacje w tle.
Śledzenie użytkownika na podstawie danych powiązanych z systemem operacyjnym
Ta płaszczyzna wiąże się z konfiguracją urządzenia mobilnego z systemem Android. Polega ona na powiązaniu smartfona z adresem email. Dodatkowo podczas korzystania z telefonu użytkownicy przypisują do niego konta np. Facebook, Messenger, Instagram etc. Tak duża integracja to kopalnia wiedzy na temat zachowań użytkownika, jego rozmów i aktywności w sieci.
Warto przy tym dodać, że – w odróżnieniu od przeglądarki internetowej – historii naszej aktywności poprzez social media nie usuniemy np. czyszcząc ciasteczka lub pamięć podręczną. Serwisy społecznościowe bardzo często agregują dane o aktywności w oparciu o numer ID użytkownika już zarejestrowanego w aplikacji społecznościowej. Co za tym idzie – zakres stron i ich tematyka jest serwisowi ciągle znana. To co, użytkownik wykona później (np. zmieniając telefon na nowy) jest po prostu dopisywane do jego dotychczasowej aktywności.
Śledzenie użytkownika na podstawie aktywności w przeglądarce internetowej
W tej płaszczyźnie smartfon zbiera dane o użytkowniku na podstawie stron i treści przeglądanych za pomocą przeglądarki internetowej. Dzięki temu firmy mogą poznać preferencje użytkowników smartfonów, a przez to lepiej kierować komunikację i reklamę do potencjalnych klientów, którzy odwiedzili daną stronę.
Śledzenie użytkownika na podstawie zainstalowanych aplikacji
Większość aplikacji mobilnych do prawidłowego działania potrzebuje zezwolenia na korzystanie z konkretnych zasobów telefonu. Jednak często zdarza się, że aplikacje proszą o dostęp do większej ilości uprawnień, niż wynika to z zakresu ich działania. Dodatkowo funkcjonuje wiele aplikacji na urządzenia mobilne, które rejestrują aktywność użytkowników i przesyłają ją dalej. Przykładem takiej aplikacji jest Brightest Flashlight Free, czyli alternatywna wersja latarki. Instalacja i uruchomienie jej kończy się natychmiastową wysyłką informacji o użytkowniku do twórców aplikacji.
Czy aplikacje na system Android zbierają dane mimo braku zgody?
Według badaczy Usenix Security Conference, aż 1000 aplikacji na system Android znajdujących się na platformie Google Play zbierało i udostępniało dane o użytkownikach, mimo braku wyrażenia zgody. Zainstalowane aplikacje bez wiedzy użytkowników oprócz śledzenia aktywności potrafiły na podstawie geolokalizacji określić położenie użytkownika oraz pozwolić podmiotom trzecim na jego identyfikację.
Dodatkowo twórcy aplikacji prześcigają się w formach omijania blokad nałożonych na aplikacje przez systemy operacyjne urządzeń mobilnych np. aplikacja Balouch. Instytut International Computer Scence przeprowadził badania w celu wykazania ile aplikacji na system Android omija brak zgody użytkownika. Z pośród 88 000 przebadanych aplikacji aż 1300 na 50 różnych sposób obchodziło wyrażenie zgody przez właściciela smartfona. Najczęściej nieautoryzowany wypływ danych odbywa się za pomocą mechanizmu przekazywania informacji między aplikacjami, które posiadają dostęp do danych a aplikacjami, które nie otrzymały pozwolenia na korzystanie z zasobów smartfona.
Czy Google podjął działania przeciwdziałające praktykom obchodzenia zgód użytkowników?
Google nagrodził badaczy Usenix Security Conference za pomoc w wykryciu poważnych nadużyć w aplikacjach na system Android, znajdujących się w przestrzeni sklepu Google Play. Dodatkowo w ostatnim czasie został powołany zespół o nazwie App Defense Alliance, w którego skład oprócz Google, wejdą również firmy specjalizujące się w cyberbezpieczeństwie: ESET, Lookout i Zimperium.
Pozwoli on na zwiększenie bezpieczeństwa korzystania z aplikacji na system Android. Więcej o celach i założeniach nowego sojuszu przeczytasz w tekście:
Czy VPN zainstalowany na smartfonie z systemem Android zapewni bezpieczeństwo?
VPNy na urządzenia mobilne z systemem Android pomogą w ukryciu aktywności użytkownika w sieci oraz uniemożliwią aplikacjom na namierzenie urządzenia za pomocą geolokalizacji. Jednak sam VPN nie zabezpieczy w pełni użytkownika przed instalacją złośliwego oprogramowania czy nieautoryzowanym dostępem do zasobów jego telefonu.
Wielu dostawców usług tj. Sitelock VPN posiada efektywne rozwiązanie mobilne, pozwalające na zachowanie poufności i zmianę geolokalizacji telefonu z systemem Android.
Czy telefon z systemem Android powinien mieć antywirusa?
W celu zwiększenia bezpieczeństwa użytkowania telefonów z Android eksperci polecają posiadanie zainstalowanego oprogramowania antywirusowego. W połączeniu z VPN, tworzy silną barierę ochronną przed złośliwym oprogramowaniem i aplikacjami nadmiernie korzystającymi z uprawnień oraz zasobów telefonu.
Należy jednak pamiętać, że zainstalowanie VPN i oprogramowania antywirusowego na urządzeniu mobilnym to tylko połowa sukcesu. Najważniejsza jest rozwaga użytkownika, świadome instalowanie i decydowanie na jakie dostępy pozwalamy aplikacjom mobilnym. Jeżeli jakaś aplikacja budzi nasze zaniepokojenie np. zbyt dużą ilością próśb o dostępy do zasobów smartfona, lepiej znaleźć jej bezpieczniejszy odpowiednik oferujący zbliżone funkcje.
