Studie: Mobilappsapparater ser privata data mer än nödvändigt

Mobilapparna får tillgång till användarnas privata data och överför den till fjärrservrarna mycket mer än vad som är absolut nödvändigt, medan användarna har otillräckliga verktyg för att övervaka eller kontrollera sådan åtkomst, enligt en ny studie av två franska myndigheter.

Den franska nationella kommittén för dator och frihet (CNIL) studerade uppförandet av 189 appar på sex iPhones utrustade med övervakningssoftware och analysverktyg utvecklade av franska National Institute for Research in Computer Science and Control (INRIA). Målet var att förbättra allmänhetens förståelse för hur appar använder privata data, inte att peka på vissa utvecklare, sade CNILs president Isabelle Falque-Pierrotin på tisdag på en presskonferens för att presentera forskningen.

I stället för att studera appar på laboratorium villkor, CNIL tog en verklig strategi, frågade sex volontärer att sätta sina egna SIM-kort i telefonerna och använda dem som de skulle vara egna mellan mitten av oktober och mitten av januari. En volontär hämtade nästan 100 appar och en tillagt bara fem till dem som installerats av Apple.

[Vidare läsning: De bästa Android-telefonerna för varje budget.]

En av tolv av programmen fick tillgång till adressboken och nästan en av tre åtkomna platsinformation. I genomsnitt hade användarna spårning 76 gånger per dag under studien. Foursquare och Apples egna Maps app begärde platsinformation oftast - kanske förståeligt med tanke på deras syfte - med AroundMe och Apples kameraapp nära.

iPhone-namnet öppnades av en app på sex, något som forskarna fann oförklarliga eftersom det tjänar nästan ingen anledning och är långt ifrån en unik identifierare, men eftersom den ofta innehåller användarens namn kan det betraktas som personligt identifierbar information.

Facebooks app visade uppenbarligen litet försök att få tillgång till sådan privat information - men då sa forskarna

Forskare vid två franska myndigheter, CNIL och INRIA vill ge användarna av Apples iOS ytterligare kontroll över hur apps får tillgång till sin privata information, så att de kan granska och ändra den åtkomst när som helst.

Den data som åtnjutits mest av studien var iPhone: s Universal Device Identifier (UDID), ett serienummer permanent tly associerad med en viss telefon. Nästan hälften av programmen nått det och en av tre som skickade den via Internet okrypterade. Applikationen för en dagstidning öppnade UDID 1.989 gånger under studien och skickade den 614 gånger till sin utgivare.

CNEPs talesman Stéphane Petitcolas visade hur användarna kan återfå kontrollen med ett nytt inställningsverktyg för att begränsa hur appar går åt alla typer av privata information, mycket som Apple tillåter användare att kontrollera tillgången till platsinformation idag. Apple har inte sett verktyget än, men INRIA skulle överväga att dela koden om företaget var intresserad, säger Claude Castelluccia, forskare i forskningsteamet.

Köpare av iPhone-appar har ingen aning om vilken information eller funktioner som deras appar ska komma åt. Googles Play Butik visar vilken information och funktioner som en app kommer åt, men valet är allt eller inget. Äldre versioner av BlackBerry OS gav användarna större frihet att välja vilka API: er (programprogrammeringsgränssnitt) de skulle tillåta en app att komma åt, med risken att bryta appen, men i BlackBerry 10 är den granulära kontrollen endast tillgänglig för inbyggda appar: För Android apps valet är återigen att ta det eller lämna det.

Apple tar barns steg mot att ge användarna den typen av kontroll. IOS 5 kan de hindra enskilda appar från att komma åt deras plats, och i IOS 6 kommer de att ha ett annat alternativ, eftersom Apple försöker att avstå utvecklare av att använda UDID för att identifiera användare och målannonsering.

Istället vill Apple att utvecklaren använder annonseringsidentifieraren som introducerades i iOS 6. Det är inte permanent associerat med en telefon eller person och användare som inte vill spåras kan ändra det när de vill - så länge de tror att de se i Inställningar / Allmänt / Om / Reklam snarare än de mer uppenbara Inställningarna / Sekretess.

Det alternativet var inte tillgängligt för deltagarna i CNIL-INRIA-studien, som av tekniska skäl utfördes med hjälp av iOS 5. Den Nästa fas av forskningen kommer att använda iOS 6, nu när INRIA har uppdaterat sin övervakningsapp för att använda den nya versionen.

För att övervaka hur apparen fick tillgång till privat information, skulle INRIA få jailbreak iPhones och installera en speciell app för att fånga Apple API: er genom vilka appar begär tillgång till privat information, säger INRIA-forskaren Vincent Roca. Forskarna valde att arbeta på iPhones eftersom de redan hade erfarenhet att utveckla för iOS. De utvecklar nu en app med liknande funktioner för Android-telefoner, som de måste rota för att kunna installera den.

INRIAs övervakningsapp spelade in varje avlyssnad förfrågan i en databas på telefonen tillsammans med den privata information som begärdes, så att den kunde identifiera den i utgående nätverkstrafik. IOS 5-appen kan bara övervaka okrypterad nätverkstrafik, men versionen för iOS 6 kan nu ansluta nätverks API-erna innan trafiken är krypterad, sade Roca.

Appen vidarebefordrade avlyssnade förfrågningar till en central server för studien - utan Den relaterade privata informationen, som till och med experimentella ämnen har rätt till privatlivet, betonade forskarna.

INRIA och CNIL börjar bara analysera de data de samlade från de sex iPhonesna: Det finns 9 gigabyte av det och täcker 7 miljoner sekretess händelser under tremånadersperioden.

En sak som studien redan har visat är att viss tillgång till privata uppgifter är oavsiktlig. En app för att identifiera närmaste Paris-simbassängen (staden har 38 inom en radie av cirka 5 kilometer). Informationen är mycket mer än nödvändigt för att utföra sin funktion, tydligen på grund av ett programmeringsfel, sade CNIL: s Petitcolas.