비디오: [íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì (십월 2024)
Android 및 iOS 용 일부 세금 및 관련 금융 앱은 사용자 데이터를 불필요하게 수집하고 공유 할 수 있습니다. 휴대 기기에 이러한 앱이 있습니까?
Appthority는 Android 및 iOS 장치에 대한 여러 세금 재무 관리 앱을 분석하고 사용자 위치 추적, 연락처 목록 액세스 및 타사와 사용자 데이터 공유를 포함하여 소수의 위험한 행동을 식별했다고 Appthority의 사장 겸 설립자 인 Domingo Guerra는 SecurityWatch에 말했습니다.
Appthority는 많은 앱이 위치와 같은 사용자 데이터와 주소록에서 가져온 연락처 정보를 타사 광고 네트워크로 전송한다고 밝혔다. 광고 네트워크와의 대부분의 커뮤니케이션은 일반 텍스트로 이루어졌습니다. H & R Block 앱은 사용자의 위치에 액세스하는 것이 합리적이지만 앱은 사용자가 가장 가까운 매장을 찾을 수 있기 때문에 나머지 앱이 그 정보를 필요로하는 이유는 "별로 명확하지 않습니다".
Guerra는 "나머지는 그 위치를 광고 네트워크와 공유하고있다"고 말했다.
앱 목록에는 H & R Block TaxPrep 1040EZ와 같은 H & R Block TaxPrep 1040EZ와 같은 H & R Block TaxPrep 1040EZ와 같은 H & R Block 앱, TaxCaster 및 Intuit의 My Tax Refund (TurboTax 뒤에있는 회사), 이름이 개발자 인 소득세 계산기 2012와 같은 "큰 이름의 세금 앱 및 일부 신규 이민자"가 포함됩니다. Guerra는 SydneyITGuy와 RazRon의 Federal Tax 1040EZ가 말했다. Appthority는 자체 자동화 된 모바일 앱 위험 관리 서비스를 사용하여 분석을 수행했습니다.
암호화 없음으로 약함
Appthority에 따르면 앱은 일반적으로 암호화가 약하고 일부 데이터 트래픽을 선택적으로 보호하도록 선택했습니다. Guerra는 어떤 앱을 지정하지 않았지만 일부 앱은 암호화 랜덤 라이저를 사용하는 대신 예측 가능한 암호화 암호를 사용했습니다. RazRon의 앱과 같은 "이름이없는"앱은 암호화를 전혀 사용하지 않았습니다.
큰 이름의 앱 중 하나는 실행 파일 내의 디버그 정보에 소스 코드에 대한 파일 경로를 포함했습니다. Appthority에 따르면 파일 경로에는 종종 사용자 이름과 앱 개발자 또는 회사를 타겟팅하는 데 사용할 수있는 기타 정보가 포함됩니다. 다시 Guerra는 이름으로 앱을 식별하지 않았습니다.
Guerra는 "일반적으로이 정보를 유출하는 것이 큰 위험은 아니지만"가능하다면 피해야한다고 말했다.
데이터 노출
일부 응용 프로그램은 사용자가 W2 사진을 찍을 수있는 기능을 제공 한 다음 이미지를 장치의 "카메라 롤"에 저장했습니다. 이미지가 안전하지 않은 위치에 저장되어 잠재적으로 노출 될 때 iCloud 또는 Google+와 같은 클라우드 서비스를 자동으로 업로드하거나 동기화하는 사용자에게는 심각한 문제가 될 수 있습니다.
H & R Block 1040EZ 앱의 iOS 및 Android 버전 모두 AdMob, JumpTab 및 TapJoyAds와 같은 광고 네트워크를 사용했지만 H & R 블록 앱의 정식 버전은 광고를 표시하지 않습니다.
iOS와 안드로이드
Guerra는 iOS와 동일한 버전의 안드로이드 버전 사이에서 위험한 행동 유형에 큰 차이가 없었다고 Guerra는 말했다. 대부분의 차이점은 운영 체제가 권한을 처리하는 방식과 관련이 있습니다. Android는 사용자가 전혀 또는 전혀 접근하지 않고 앱을 설치하고 실행할 수 있기 전에 앱에 모든 권한을 표시해야합니다. 반대로 iOS는 상황이 발생하면 권한을 요청합니다. 예를 들어, iOS 앱은 사용자가 상점 검색기 기능을 사용하려고 할 때까지 사용자의 위치에 액세스 할 수 없습니다.
최신 규칙에 따라 iOS 6은 앱 개발자가 기기 ID 및 UDID 또는 EMEI 번호를 기반으로 사용자를 추적하는 것을 금지합니다. 이 방법은 여전히 Android 앱에서 일반적입니다. Guerra는 H & R Block 1040EZ 앱의 iOS 버전은 사용자를 추적하지 않지만 모바일 디바이스 ID, 모바일 플랫폼 빌드 및 버전 정보, 모바일 디바이스 가입자 ID를 수집하여 동일한 앱의 안드로이드 버전을 수행한다고 밝혔다.
Android의 전체 H & R 차단 앱은 요청하고 기기에 설치된 다른 모든 앱 목록에 액세스 할 수 있습니다. 운영 체제에서 허용하지 않기 때문에 iOS 버전의 앱은이 정보에 액세스 할 수 없습니다.
위험합니까?
이 시점에서 특별히 위험한 것은 없습니다.이 앱은 비밀번호와 재무 기록을 일반 텍스트로 전송하지 않습니다. 그러나 앱이 사용자 데이터를 불필요하게 공유하고 있다는 사실은 여전히 남아 있습니다. 하나의 앱을 제외하고 다른 앱은 매장 검색 기능을 제공하지 않았습니다. 그렇다면 왜 이러한 다른 앱이 사용자의 위치에 액세스해야합니까? 이러한 앱이 사용자의 연락처에 액세스해야하는 이유는 무엇입니까? 세금 준비에는 필요하지 않은 것 같습니다.
Geurra는 Appthority는 "구점을 입증하기 위해 일부 오래된 앱을 조사했다"고 말했다. 이러한 앱의 대부분은 만료 날짜 (예: 2012 세금 앱)를 가지고 있으며, 사용자는 사용이 끝난 후에는 더 이상 사용하지 않을 것으로 예상됩니다.
이러한 "일회용 앱"은 시장에서 거의 나오지 않으며 사용자는 이러한 앱이 사용자 기기의 데이터에 액세스 할 수 있음을 알고 있어야합니다.
