Gizlilik ve teknoloji arasındaki oyun! Sizi izleyen mobil uygulamalar nasıl "anti-izlenir"?
Lieyun.com (WeChat Kimliği: ilieyun ) 6 3. ay Günlük rapor (derleme: Cai Miaoxian)
Editörün notu: Bu makalenin yazarı, Seattle'da kıdemli bir teknoloji muhabiri olan Glenn Fleishman'dır.
Web sitelerine göz atarken, bazen çevrimiçi ayak izlerimizi kaydeden reklamları nasıl engelleyeceğimizi hepimiz biliyoruz, ancak şimdi çoğu insan "mobil klan" haline geldi. Cep telefonlarındaki uygulamalar ne kadar şeffaf ve bilgilerimiz ne kadar izleniyor? Kaç kişi değişti, korkarım çok az kişi cevap verebilir. Bu tür davranışları engellemek için hangi araçların kullanılması gerektiğini de bilmiyoruz.
Sonuç olarak, işletim sistemi geliştiricileri hayat kurtaran tek saman haline geldi. Apple ve Google, geliştiricilerin kullanıcı davranışını izlerken, kişisel bilgileri talep ederken ve verileri uzak sunuculara taşırken yasalara ve düzenlemelere uymalarını şart koşan uygulama geliştirme kuralları geliştirmiştir. Aynı zamanda, işletim sistemi geliştiricilerinin bu düzenlemeleri denetleme ve uygulama sorumluluğu vardır. Bununla birlikte, bu düzenlemeler çok belirsizdir ve aşırı derecede aşırı olmadıkları sürece, kullanıcılar veya araştırmacılar, ihlalleri gerçekten uygulanmadan önce her zaman rapor edeceklerdir.
Örneğin Apple, uygulamaların kişisel verileri aktarmadan önce kullanıcının iznini almasını ve veri aktarımının yöntemini ve amacını açıklamasını ister. Ancak Apple, şüpheli ağ iletişimlerini engellemeyecek veya bu düzenlemelere göre uzak veritabanlarının denetlenmesini gerektirmeyecektir.
Washington Üniversitesi Bilgisayar Bilimi ve Mühendisliği Yardımcı Doçenti Franziska Roesner, bilgisayar güvenliği ve gizliliği konusunda uzmanlaşmıştır: "Bir uygulama lisans için başvurduğunda, işletim sistemi geliştiricisinin yönetme yeteneği yoktur. İOS, uygulama uygulamasının coğrafi konumunuzu okuduğunu bilmez. Konum makul mü, bu yüzden kullanıcıya sordular. "
Coğrafi konum verilerinin kullanımında Apple, geliştiricilere güvenmek zorundadır. Roesner, verilerin kötüye kullanılmamasını sağlamak için veri toplama amacını uygulama arayüzünde bulunan unsurlarla ilişkilendirmeye çalışan bir araştırma yürütmüştür.
Pek çok geliştirici, görünüşte zararsız kullanıcı bilgilerini diğer kanallardan toplanan verilerle ilişkilendirmek için üçüncü taraf analiz paketleri ve reklam teknolojisi kodları aracılığıyla başka işlevler yerleştirir. Bu nedenle, bir uygulama tarafından gönderilen veriler bağımsız olarak görüntülendiğinde önemli olmayabilir, ancak belirli bir kullanıcıyı kilitleyebilir ve geliştirici karanlıkta tutulsa bile kötü niyetli olarak kullanılabilir. Genel olarak konuşursak, geliştiriciler kodu gözden geçirmeyecekler ve size ne yaptığını da söyleyemeyecekler.
Yurtdışında son zamanlarda popüler hale gelen Meitu Xiuxiu'yu ele alalım, Çinli kullanıcılar bu ücretsiz uygulamaya alışkın değiller.Yurtdışına ayak bastığında sosyal medyayı doğrudan patlattı. Ancak, güvenlik araştırmacıları Meitu Xiuxiu'yu kontrol ettiklerinde, yalnızca bir kısmı çalışma koduyla ilgili olan bir analiz ve reklam paketleri katmanı buldular. Android ve iOS platformlarında, bu paketler kullanıcılardan birden fazla izin vermelerini isteyecekti. .
Anlaşmazlık anında Meitu Xiuxiu, Çin'in reklam ağı düzenlemelerine uymak için coğrafi konum ve uygulama kontrol kodlarının bir kısmını yerleştirdiklerini söyledi. Bir yandan jailbreak'li cihazlar reklamverenleri aldatmak için kullanılabilirken, diğer yandan reklamverenler belirli bilgilerin yalnızca belirli coğrafi konumlara yerleştirilmesini isteyebilir. Apple, Meitu Xiuxiu'nun hala bu paketleri kullandığını doğruladı.
Amerika Birleşik Devletleri'nde, Federal Ticaret Komisyonu, yalnızca bir şirketin bilgi gizliliği anlaşmasını (COPPA, çocukların çevrimiçi gizlilik koruma kuralları dahil) potansiyel olarak ihlal etmesi veya kendi beyanına aykırı olması durumunda kullanıcı adına incelemeye müdahale edebilir. FTC web sitesinde, uygulamayla ilgili olanlar da dahil olmak üzere geçmiş veri gizliliği davalarını ve sonuçlarını gösteren bir sayfa vardır.
Peki kullanıcılar ne yapmalı? Birisi zaten akademik araştırmaya başladı. Gelecekte, kullanıcıların daha fazla uygulama bağlantısı izleme hakkını kontrol etmesine, bu gereksiz ve güvenli olmayan özel veri aktarımlarını ortaya çıkarmasına ve hatta özel verileri gönderilmeden önce ele geçirmesine olanak tanıyan iki teknolojinin bir kombinasyonu olacak.
Hırsızlık ve hırsızlığa karşı koruma
Massachusetts Northeastern Üniversitesi Bilgisayar ve Bilgi Bilimi Okulu'nda yardımcı doçent olan Dave Choffnes, kişisel olarak tanımlanabilir verileri (PII) korumak için bir sanal özel ağ (VPN) ReCon geliştiren bir ekibe liderlik etti. Sıradan VPN'lerden farklı olarak, sıradan VPN'ler, verileri cihaz ile veri merkezi veya kurumsal sunucu arasındaki güvenli bir tünel aracılığıyla korur ve ReCon ayrıca cep telefonu ile İnternet arasındaki veri akışını sansürleyebilen bir sansür işlevine de sahiptir. Kullanıcıların, ReCon'u normal bir VPN gibi kullanmak için cep telefonuna yalnızca ağ yapılandırma dosyasını yüklemeleri gerekir. ReCon, halka açık kablosuz ağlara sürtünseniz bile şifrelenmemiş bağlantıların içeriğini tam olarak inceleyebilir.
Geliştirme süreci sırasında, Choffnes ve meslektaşları bazı şaşırtıcı sırlar keşfettiler. Örneğin GrubHub, kullanıcı şifrelerini farkında olmadan, geliştiricilerin hata kodlarını bulmalarına yardımcı olmaya adanmış bir Google şirketi olan Crashlytics'e gönderecektir. Choffnes, kodu yeniden değiştiren ve Crashlytics'ten parolayı içeren tüm ilgili verileri silmesini isteyen GrubHub'ı hemen bilgilendirdi.
Choffnes ekibi, uygulama iletişimlerinden veri çıkarır ve ardından hangilerinin PII'ye ait olduğunu belirlemeye çalışır. Bu iş basit ve karmaşık. Çoğu veri yapılandırılmamış yollarla, genellikle API'ler kullanılarak iletilir ve JSON biçiminde sunulur. Choffnes ekibi, makine öğrenimi teknolojisini kullanarak, standart bir yapıya sahip olmasa veya mantıksız bir alanda görünse bile PII'yi tanımlayabilir.
ReCon projesi, sansürlenen uygulamalar, ilettikleri veri türleri, güvenlik puanları, geliştiricilerin farkında olup olmadığı ve suistimalin ne zaman durdurulduğu dahil olmak üzere yüzlerce erken kullanıcıdan toplanan bazı verileri yayınladı.
Uygulamayı kuran kullanıcılar için ReCon, kullanıcıların gönderilen verileri engelleyebileceği veya değiştirebileceği ilgili bir web arayüzü sağlar. Örneğin, kullanıcılar tüm belirli PII türlerini veya bir uygulama tarafından gönderilen tüm coğrafi konum verilerini engelleyebilir. Ancak, bazı uygulamaların coğrafi konum bilgisi alması gerektiğinden, ekip şu anda bu bilgileri tamamen engellemek yerine nasıl hassaslaştıracağını araştırıyor.
Elbette, kullanıcı verilerini denetlemek, ReCon'un gelişimini de yansıtan büyük bir güvenlik riskidir. Kullanmak için bir parola gerektirmez, bu nedenle bu açıdan bir değer yoktur ve yalnızca, örneğin parolanın şifreleme olmadan iletilip iletilmediğini kontrol eder. Ar-Ge ekibi, kullanıcıların gelecekte özel veya özel bilgi sağlamalarını gerektirmeden dağıtılmış makine öğrenimi teknolojileri geliştirmeyi umuyor.
"Karanlık Chen Cang"
Birçok akademik kurum birlikte çalışırken, Berkeley International School of Computer Science (ICSI) California Üniversitesi'nin Haystack Projesi ortak projesi sonuçlara ulaştı - verileri doğrudan kaynaktan alan bir Android uygulaması (iOS sürümü henüz geliştirilmedi) .
ReCon'a benzer şekilde, Haystack'in Lumen gizlilik izleme uygulaması bir VPN gibidir, ancak verileri analiz için göndermek yerine içeriden yönlendirebilir. Kullanıcılar, uygulama tarafından sunucuya gönderilen verileri ayarlayabilir, durdurabilir ve analiz edebilir. Bunun aksine, ReCon cep telefonu ve ağın dışında çalışır ve durdurma işlevine sahip değildir, ancak verileri iletmek için uygulamanın hedefini, yük kapasitesini ve iletim sıklığını belirleyebilir.
ICSI Araştırma Enstitüsü Narseo Vallina-Rodriguez, geliştiricilerin Lumen'in veri gönderemeyeceğine dikkat etmeleri gerektiğini, bunun da kaçınılmaz olarak cep telefonu işleme görevlerinin hızını geciktireceğini söyledi. Lumen aynı zamanda uygulamanın ne yaptığını değerlendirecek ve raporlayacaktır.Gelecekte, Ar-Ge ekibi koruma kontrol fonksiyonları sağlayabilir.
Uygulama davranış raporları, araştırmacıların ne tür kişisel bilgileri yakalayıp ilettiğini bilmelerine olanak tanıyan anonim parçalar biçimini alır. Vallina-Rodriguez, "Bir çok şey görüyoruz, örneğin, uygulama, coğrafi konum bilgilerini elde etmek için Wi-Fi MAC arayüzüne (medya erişim kontrolü) bağlanacak." Dedi.
Belirli kişisel verilerin toplanması kullanıcı izni gerektirse de, "Bazı uygulamaların ve üçüncü taraf hizmetlerin, kullanıcının bilgisi olmadan dahili" gizli kanalları "kullandığını gördük." Vallina-Rodriguez dedi. Sistem bilgilerini içeren Android dosyalarının IP adresleri de dahil olmak üzere kendi benzersiz ağ tanımlayıcılarına sahip olabileceğini ve kullanıcıların uygulama tarafından gönderilen bilgilerin farkında olmadığını vurguladı.
Neyse ki, yukarıdaki iki proje arasında şiddetli bir rekabet yok ve işbirliği için planlar var. İki Ar-Ge ekibi yine de bağımsız araştırmalar yürütecek, ancak her birinden yararlanacak ve makro düzeyde uygulama davranışını anlamak için verileri entegre edecek.
İhtiyacımız olan şey "resmi ses" değil, pratik politikadır.
ReCon ve Lumen bize derinlemesine bir görünüm sağlasa da, her uygulamanın verilerle yaptığı şey hala büyük ölçüde çözülemeyen bir sorundur. Birçok gizlilik uzmanı ve araştırmacısı, gizlilik sınırlarını sınırlandırmak için kapsamlı yasalar ve düzenlemeler oluştururlar.Elbette, doğrudan tanımlanabilen yazılım veya insanlar ne olursa olsun, bu yaklaşım bireysel kullanıcılar için işe yaramayacaktır.
Choffnes, "Gizlilik politikaları her zaman iyidir, ancak aslında çok geniştir, bu da onlara FTC ticari dolandırıcılık düzenlemelerinden kaçınmaları için alan yaratır."
Ayurvedic Wellness'ta bir politika danışmanı olan Stacey Gray, hemen ardından en kritik soruların belirsiz olmaya başladığını, çünkü veri kullanımının "her zaman beklenmedik şekilde, düzenlemelere uymadığını veya hassas içerik içerdiğini" söyledi. Örneğin, restoranları bulan bir uygulama, yakındaki restoranları önermenize yardımcı olmak için bir konum isteyebilir. Ancak, coğrafi konum bilgilerini bilginiz dışında başkalarına satarlarsa, bu yaklaşım "uyumsuz ve beklenmedik" olur. Coğrafi konum bilgilerini koruma hakkından vazgeçmek niyetinde olmasanız da, yasal terimler dizisi uzun süredir kafanızı karıştırdı.
Gray ayrıca hiç düşünmediğimiz durumlar olduğunu da belirtti. Örneğin, uygulama geliştiricileri ve üçüncü taraf reklam teknolojisi şirketleri yasal hükümleri sıkı bir şekilde takip ettiler, ancak şu anda ilgisiz bir şirket gizlilik düzenlemelerini ihlal etti. Mayıs 2016'da bir şirketin kürtaj karşıtı dini danışmanlık hizmetlerini teşvik etmek için bir aile planlaması kliniğini ziyaret eden kadınları hedefleyebileceğini iddia ettiği gerçek bir vakadan alıntı yaptı. Bu davranış muhtemelen yasaldır, ancak kullanıcının, reklam şirketinin veya reklam yayıncısının isteklerine açıkça aykırıdır.
Aynı çatışma, reklamcılık ve reklam engelleme endüstrileri arasında bir savaşa ilham veriyor, bu da mobil uygulamanın arkasındaki iş modelinin görülmesini zorlaştırıyor ve bu nedenle ReCon ve Lumen ekiplerinin araştırma çalışmaları daha önemli. Choffnes, "Sektördeki ilerlemenin çoğu akademiden geliyor. İfşa ettiğimiz gerçekler halk için iyidir, ancak sektör profesyonellerinden asla söylenmeyecektir. İlgi alanları bu davranışa bağlıdır, ancak nasıl yapılacağını bilmiyorlar Kullanıcı gizliliğinin nereye koyulacağı. "
Bu makale Lieyun.com'dandır. Yeniden basıldıysa, lütfen kaynağı belirtin:
