비디오: 7 ANDROID-СМАРТФОНОВ, КОТОРЫЕ НАМНОГО ЛУЧШЕ IPHONE 12! (십월 2024)
Apple의 App Store 및 Google Play에서 앱을 다운로드 할 때 많은 보안 및 개인 정보 보호를 포기합니다. 우리는 장치와 데이터로 앱이 수행하는 작업을 면밀히 조사하는 것을 거의 멈추지 않으며 개발자가 앱을 만들 때 사용자 개인 정보를 우선시하지 않는다는 것을 잊어 버립니다.
Zscaler의 보안 연구 부사장 인 Michael Sutton은 Security Watch에 "사람들이 우리가이 무료 앱의 고객이 아니라고 생각하는 것은 아닙니다.
개발자들은 이러한 앱을 만들 때 광고주가 원하는 것을 생각하고 있으며 이는 사용자에 대한 정보와 사용자 활동을 추적하는 능력이라고 Sutton은 말했다. 따라서 앱 권한과 관련하여 개발자가 필요한 것 이상을 요구하는 것을 막을 수있는 것은 없습니다. 대부분의 사람들은 앱을 설치하기 위해 모든 권한을 수락하기 전에 권한 목록을 읽지 않으며 사람들은 일반적으로 앱이 너무 많은 것을 요구하는 것처럼 불평하지 않습니다. 개발자가 실제로 필요한지 여부에 관계없이 권한을 요청하는 경우가 있습니다.
Sutton은 실제로 "특히 안드로이드 쪽에서는 그렇지 않다"고 말했다.
ZScaler 연구 결과
Zscaler ThreatLabz의 연구원은 550 개의 iOS 앱과 75, 000 개의 Android 앱을 분석하여 두 모바일 운영 체제가 개인 정보 보호 및 보안에 접근하는 방법을 이해했습니다. 정적 분석에서 팀은 특정 수준의 액세스가 필요한 함수가 호출 된 코드에서 실제 인스턴스를 찾았습니다. 이렇게하면 함수가 실제로 요청한 권한을 사용하고 있는지 확인할 수 있습니다.
"게임 및 엔터테인먼트"카테고리에있는 iOS 앱의 60 % 이상이 전화 기능 및 지리적 위치에 대한 권한을 요청한다는 사실과 같은 결과는 매우 심오하고 흥미 롭습니다. Zscaler는이 문제를 "고장"이라고 불렀으며, 최근에는 사용자 활동을 감시하는 앱에 대한보고가있었습니다. 81 %가 기능을 요청하는 라이프 스타일 앱의 경우이 수가 더 높습니다. 전체적으로 iOS 앱의 34 %가 주소록 액세스 권한을 요청했으며 83 %가 이메일 액세스를 요청했으며 46 %가 사용자 일정을 읽을 수있었습니다.
Zscaler는 다음과 같이 설명했다. 블로그.
안드로이드 측면에서 Zscaler는 SMS 권한을 요청하는 앱의 68 %가 SMS 메시지 전송 기능을 요구한다는 것을 발견했습니다. SMS 사기와 스팸 트릭 사용자의 인기를 고려하여 프리미엄 번호로 메시지를 보내는 것을 고려할 때 걱정할 사항입니다. SMS 권한이있는 앱의 다른 28 %도 SMS 메시지를 읽을 수있는 기능을 요청합니다. 또한 이중 인증을 위해 SMS를 통해 코드를 전송하거나 특정 거래를 확인하기 위해 모바일 뱅킹 사이트 및 기타 서비스의 수를 고려할 때 고려해야 할 또 다른 영역입니다. 서튼은 애플이이 권한을 부여하지 않는다고 지적하면서“앱을 승인하는 것은 매우 위험한 권한이다.
좋은 점은 현재 앱의 10 % 미만이 현재 SMS 권한을 요청한다는 것입니다. 그러나 여전히.
Zscaler는 분석 한 Android 앱 중 36 %가 위치 정보를 요청했으며 46 %가 휴대 전화의 상태 권한을 요청하여 앱이 SIM 카드 정보 및 휴대 전화의 고유 IMEI 식별자에 액세스 할 수있는 것으로 나타났습니다.
Sutton은 "이것은 우리가 무료 응용 프로그램과 교환하여 기꺼이 포기하는 것 사이의 미묘한 균형"이라고 말했다.
안드로이드는 더 많은 위험에 노출
Sutton에 관한 한 가장 큰 문제는 Android가 사용자에게 앱이 가질 수있는 권한을 제어 할 수 없다는 사실이었습니다. 서튼은 "나는 안드로이드에서 올인원 모델을 좋아하지 않는다"고 말했다.
안드로이드가 실제로 개발자들에게 매우 세밀한 수준의 제어를 제공하는 데 iOS보다 더 나아 가기 때문에 조금 슬프다. 그러나 사용자가 앱이 요청하는 특정 권한을 좋아하지 않으면 사용자가 앱을 설치할 수 없으므로 해당 수준의 제어는 앱 자체에 적용되지 않습니다. 반면에 Apple은 iOS 앱을 설치 한 다음 특정 기능이 필요할 때 사용자에게 권한을 요청합니다.
서튼은“애플이 더 잘하는 일이다. 그는 iOS 모델에서 권한에 대한 "우수한 접근 방식"이 소비자를보다 잘 보호한다고 말했다.
서튼은 애플도 개발자들이 기기를 추적하지 못하도록 싸웠다 고 말했다. 개발자는 원래 기기의 고유 한 UDID를 쿼리 할 수 있었으며, 광고주는 프로필을 작성하고 사용자가 어떤 종류의 앱을 사용하는지 이해할 수있었습니다. 애플은 UDID 사용을 금지했지만 Zscaler는 분석에서 iOS 앱의 38 %가 여전히 액세스 할 수 있음을 발견했습니다. 애플은 또한 개발자들이 MAC 주소를 추적하는 것을 금지했다. UUID는 앱과 기기별로 생성 된 고유 한 값이므로 선호하는 접근 방식으로, 광고주가 앱에서 사용자를 추적 할 수 없습니다.
서튼은 애플이 개발자들이 기기를 추적하는 것을 막기 위해 실제로 싸웠다 고 말했다. "Google은 그 영역에서 아무 것도하지 않았습니다."
