Hur appar i hemlighet spionerar på dig med spårare från tredje part

I samma ögonblick som du installerar en app börjar den rensa och tjata om dig efter dina data. Den begär tillstånd att utnyttja din telefons inre delar, ber dig att registrera en handfull personlig information - du vet hur det är.

Innehåll

  • Skador på integriteten
  • Personuppgifter minerade
  • Nyckelinformation begravd

Men oavsett hur sparsam och vaksam du är vid varje steg, finns det fortfarande ett sätt att de flesta appar slutar i hemligt bryta din data.

Varje app kommer förpackad med en rad av vad som tekniskt kallas Software Development Kits (SDK). För att förstå dessa bättre, tänk på en app som ett Lego-hus - där varje block fungerar som en enda nyckelmodul.

Relaterad

  • Microsoft Defender känns äntligen som ett riktigt antivirusprogram för privatpersoner
  • 6 saker du inte visste att din Mac kunde göra
  • Apple kan få slut på antitrustproblem genom att göra iOS App Store mer lik Macs
Julian Chokkattu/Digitala trender

Utvecklare programmerar blocken som är unika för deras appar, till exempel dess design och funktioner. Men komponenter som reklam och analys byggs vanligtvis inte in-house. För det vänder de sig till tredje part som redan erbjuder dessa tjänster. Allt utvecklare behöver göra är att koppla in dem i sina appar.

SDK: er designades, som du kan anta, för att påskynda utvecklingen och eliminera överflödig ansträngning. Men på senare tid har dessa små enheter utvecklats som kritiska kryphål i vår strävan efter integritet eftersom företag har missbrukat dem för att suga upp personlig användardata även när de inte är tänkta.

SDK: er har utvecklats som kryphål i vår integritet eftersom företag har missbrukat dem för att suga upp personlig användardata även när det inte är meningen att de ska göra det.

Skador på integriteten

En Oxford University studie upptäckte att nästan en tredjedel av alla appar i Play Butik var länkade till minst 10 SDK: er från tredje part och en i fem delade användardata med så många som 20 SDK: er. Den siffran ökar exponentiellt på storskaliga gratisappar. Till exempel enligt MightySignal, ett mobilt underrättelseföretag, Tinder är anslutet till häpnadsväckande 51 SDK, Airbnb har 41 och ESPN har 40.

Majoriteten av SDK: er samlar in data som du normalt inte skulle tycka är av någon betydelse. De spårar vad du trycker på i en app, områden där du tillbringar större delen av din tid, vilka annonser du interagerar med och mer. Men denna till synes ofarliga praxis kan vara kritiskt skadlig för din integritet när du tittar på hur all denna data passar in i den bredare bilden.

Oxford-studien avslöjade också att 88 % av de undersökta apparna kunde överföra data till företag som i slutändan ägs av Alphabet (Googles moderbolag) och 43 % till Facebook-ägda tjänster.

Företag gillar Facebook och Google vet redan en hel del om dig, och genom att utnyttja hundratusentals appar genom SDK: er kan de finjustera din digitala profil i sin databas och betjäna dig riktad annonser. Till exempel, om du väntar och har installerat en graviditetsrelaterad app, kan Google eller Facebook potentiellt börja visa dig annonser för babyprodukter baserat på denna nya information.

SDK-visualiseringRufana Rahimova/Getty Images

Personuppgifter minerade

Utvecklare tenderar att motivera alla dessa SDK: er genom att hävda att data hålls anonyma och att personlig information som ditt telefonnummer aldrig delas.

Men i verkligheten har stora företag möjligheten att knyta in även den minsta databit till din digitala profil. Appen kanske inte berättar för en SDK ditt namn eller din e-postadress, men teknikföretag kan ta reda på det på egen hand genom att korsbehandla det med deras befintliga kunskap.

Appar delar inte alltid endast anonymiserad data med SDK: er. Kaspersky Lab-forskaren Roman Unuchek hittade 4 miljoner Android appar skickade okrypterad användarprofildata – inklusive namn, inkomster, telefonnummer, e-postadresser och, i ett exempel, GPS-koordinater – till annonsörernas servrar.

Några veckor sedan, en undersökning av Electronic Frontier Foundation (EFF). upptäckte att fyra analys- och marknadsföringsföretag samlade information som namn, privata IP-adresser, mobilnätverksoperatörer, beständiga identifierare och sensordata från Amazonas Ring app.

Två av SDK: erna EFF som lyfts fram – Appsflyer och Facebook Graph – finns i en mängd appar, och experter säger att det är troligt att de också samlar in en liknande uppsättning data från andra appar.

I ett uttalande sa en Appsflyer-talesman att företaget inte är en datamäklare och "inte bygger inriktning profiler, säljer inte data och använder inte på annat sätt någon appanvändares personliga data för sina egna syften."

Appen kanske inte berättar för en SDK ditt namn eller din e-postadress, men teknikföretag kan ta reda på det på egen hand genom att korsbehandla det med deras befintliga kunskap.

"Vissa analysföretag ger apputvecklarna fin kontroll över vilken information som levereras, men det verkar vara ett bra antagande att andra appar kommer att ge en liknande mängd känslig information om de inkluderar samma bibliotek, säger William Budington, författare till EFF-utredningen, till Digital Trender.

Ett gäng SDK: er som för närvarande spelar en oumbärlig roll i apputveckling anger inte ofta tydligt hur de hanterar användardata. I vissa fall förbiser och hoppar utvecklare över hur en SDK fungerar, vilket sätter användarsäkerheten på spel.

"Tyvärr kanske de flesta utvecklare inte vet... hur påträngande en given SDK kan vara när de bygger sin egen programvara, medan användarna är helt omedvetna om det faktum att när man kör en mobilapp kan det finnas dussintals andra organisationer som potentiellt samlar in känsliga och personliga uppgifter, säger Narseo Vallina-Rodriguez, en forskare vid International Computer Science Institutes nätverks- och säkerhetsavdelning och en medlem av teamet som tagit fram Lumen, en app som övervakar vilka SDK: er din telefon överför data till.

Nyckelinformation begravd

En annan flaskhals som har gjort det möjligt för SDK: er att gå amok är att deras samtycke i allmänhet är begravt djupt nere i en apps sekretesspolicy och många gånger misslyckas utvecklare att uttryckligen understryka vad användarna ger upp. Dessutom gäller inte appens säkerhetsinställningar för tredjeparts-SDK: er, vilket ger människor lite eller inget val.

"Faktum är att det finns bevis som visar att det som många appar rapporterar om deras integritetspolicy erbjuder en ofullständig bild av deras faktiska körtid och datainsamlingsbeteenden”, tillade Narseo Vallina-Rodriguez.

Fram till Android 10, SDK: er kan till och med dela behörigheter mellan två orelaterade appar. Säg därför att app A har platsbehörighet och B inte har och båda är utrustade med samma SDK, det finns en anständig chans att B kan mata A: s platsbehörighet och samla in din GPS-data.

Till skillnad från webbläsare kan du inte heller bara blockera appspårare. Ditt enda alternativ är att gå igenom en apps inställningar och se till att avmarkera Samla in data för analysen låda om det finns en.

Genevieve Poblano/Digital Trends

Du kan också börja använda webbappar på din telefon via din webbläsare, vilket gör att du kan blockera spårare med webbläsarens inbyggda verktyg. De flesta ledande appar som Instagram och Tinder erbjuder jämförbara webbappar som till stor del beter sig som vanliga mobilappar. I processen kommer du också att spara massor av lagring och Bagge.

Din integritet är bara lika stark som den svagaste länken i hela appkedjan, och på telefoner är den länken en SDK. Och tyvärr kan du inte göra något åt ​​det annat än att byta till appar som lovar mer säkerhet för din data. Förhoppningsvis kommer Google och Apple i framtida versioner av Android och iOS att introducera bättre skydd mot spårare från tredje part.

Redaktörens rekommendationer

  • Denna listiga bluff-app bevisar att Mac-datorer inte är skottsäkra
  • Apples M1-chip har ett fel, men du bör inte oroa dig
  • Dessa appar använder A.I. för att automatisera ditt liv och spara tid
  • Microsoft uppgraderar sina Outlook-appar för bättre arbete efter arbetstid
  • Microsofts nya Office-app tipsar om Surface Duos potential