Uygulamalar Üçüncü Taraf Takipçilerle Sizi Nasıl Gizlice Gözetliyor?

Bir uygulamayı yüklediğiniz anda, verileriniz için sizi rahatsız etmeye ve rahatsız etmeye başlar. Telefonunuzun iç kısımlarına girmek için izinler talep ediyor, sizden bir avuç kişisel bilgiyi kaydetmenizi istiyor - ne olduğunu biliyorsunuz.

Ancak, her adımda ne kadar tutumlu ve dikkatli olursanız olun, çoğu uygulamanın gizlice verilerinizi incelemesinin bir yolu vardır.

Her uygulama, teknik olarak Yazılım Geliştirme Kitleri (SDK) olarak adlandırılan bir dizi ürünle birlikte gelir. Bunları daha iyi anlamak için, bir uygulamayı her bloğun tek bir anahtar modül görevi gördüğü bir Lego evi olarak düşünün.

Geliştiriciler, tasarımı ve işlevleri gibi uygulamalarına özgü olan blokları programlar. Ancak reklamcılık ve analiz gibi bileşenler genellikle şirket içinde oluşturulmaz. Bunun için halihazırda bu hizmetleri sunan üçüncü taraflara yöneliyorlar. Geliştiricilerin tek yapması gereken bunları uygulamalarına eklemektir.

SDK'lar, tahmin edebileceğiniz gibi, geliştirmeyi hızlandırmak ve gereksiz çabayı ortadan kaldırmak için tasarlandı. Ancak son zamanlarda bu küçük varlıklar, gizlilik arayışımızda kritik boşluklar olarak gelişti; şirketler, yapmamaları gerektiği halde bile kişisel kullanıcı verilerini emmek için onları kötüye kullandı.

Gizliliğe zarar

Bir Oxford Üniversitesi araştırması Play Store'daki uygulamaların neredeyse üçte birinin en az 10 üçüncü taraf SDK'ya ve bir tanesine bağlı olduğunu tespit etti beşi kullanıcı verilerini 20 kadar SDK ile paylaşıyordu. Bu rakam büyük ölçekli ücretsiz uygulamalarda katlanarak artıyor. Örneğin, uyarınca Güçlü SinyalBir mobil istihbarat firması olan Tinder'ın şaşırtıcı bir şekilde 51 SDK'ya bağlı olduğu, Airbnb'nin 41 ve ESPN'in 40 SDK'ya sahip olduğu belirtiliyor.

SDK'ların çoğunluğu normalde önemli olduğunu düşünmeyeceğiniz verileri toplar. Bir uygulamada neye dokunduğunuzu, zamanınızın çoğunu geçirdiğiniz alanları, hangi reklamlarla etkileşimde bulunduğunuzu ve daha fazlasını takip ederler. Ancak bu görünüşte zararsız olan uygulama, tüm bu verilerin daha geniş resme nasıl uyduğuna baktığınızda gizliliğinize kritik derecede zarar verebilir.

Oxford araştırması ayrıca araştırılan uygulamaların yüzde 88'inin, sonuçta Alphabet'e (Google'ın ana şirketi) ait olan şirketlere ve yüzde 43'ünün Facebook'a ait hizmetlere veri aktarabildiğini ortaya çıkardı.

Şirketler gibi Facebook ve Google zaten sizin hakkınızda oldukça fazla şey biliyor ve yüz binlerce uygulamadan yararlanıyor SDK'lar aracılığıyla, veritabanlarındaki dijital profilinize ince ayar yapabilir ve size hedeflenen hizmeti sunabilirler. reklamlar. Örneğin, hamilelikle ilgili bir uygulama bekliyorsanız ve yüklediyseniz, Google veya Facebook, bu yeni bilgilere dayanarak potansiyel olarak size bebek ürünleri reklamları göstermeye başlayabilir.

Çıkarılan kişisel veriler

Geliştiriciler, verilerin anonim tutulduğunu ve telefon numaranız gibi kişisel bilgilerin asla paylaşılmadığını iddia ederek tüm bu SDK'ları haklı çıkarma eğilimindedir.

Ancak gerçekte büyük işletmeler, en küçük veriyi bile dijital profilinize bağlama yeteneğine sahiptir. Uygulama bir SDK'ya adınızı veya e-posta adresinizi söylemiyor olabilir, ancak teknoloji şirketleri bunu mevcut bilgileriyle çapraz işleyerek kendi başlarına çözebilirler.

Uygulamalar her zaman yalnızca anonimleştirilmiş verileri SDK'larla paylaşmaz. Kaspersky Lab araştırmacısı Roman Unuchek 4 milyonu buldum Android uygulamalar, reklamverenlerin sunucularına adlar, gelirler, telefon numaraları, e-posta adresleri ve bir örnekte GPS koordinatları dahil olmak üzere şifrelenmemiş kullanıcı profili verileri gönderiyordu.

Birkaç hafta önce, Electronic Frontier Foundation (EFF) araştırması dört analiz ve pazarlama şirketinin isimler gibi bilgileri biriktirdiğini keşfetti, Amazon'dan özel IP adresleri, mobil ağ taşıyıcıları, kalıcı tanımlayıcılar ve sensör verileri Zil uygulaması.

EFF'nin vurguladığı SDK'lardan ikisi (Appsflyer ve Facebook Graph) çok sayıda uygulamada bulunabilir ve uzmanlar, diğer uygulamalardan da benzer veri kümesi topladıklarını söylüyor.

Bir Appsflyer sözcüsü yaptığı açıklamada, şirketin bir veri komisyoncusu olmadığını ve "hedefleme oluşturmadığını" söyledi. profilleri oluşturmaz, veri satmaz ve herhangi bir uygulama kullanıcısının kişisel verilerini kendi amaçları doğrultusunda kullanmaz."

"Bazı analiz şirketleri, uygulama geliştiricilerine hangi bilgilerin iletildiği konusunda hassas kontrol hakkı veriyor, ancak bu, diğer uygulamaların da bu konuda iyi bir varsayım gibi görünüyor." EFF soruşturmasının yazarı William Budington, Digital'e verdiği demeçte, aynı kütüphaneleri içermeleri halinde benzer miktarda hassas veri vereceklerini söyledi. Trendler.

Şu anda uygulama geliştirmede vazgeçilmez bir rol oynayan bir grup SDK, kullanıcı verilerini nasıl işlediklerini genellikle açıkça belirtmiyor. Bazı durumlarda geliştiriciler bir SDK'nın nasıl çalıştığını gözden kaçırıp kontrol etmeyi atlayarak kullanıcı güvenliğini riske atar.

"Ne yazık ki çoğu geliştirici, belirli bir SDK'nın kendi yazılımlarını oluştururken ne kadar müdahaleci olabileceğini bilmiyor olabilir, oysa kullanıcılar bunun farkında değiller. Narseo, bir mobil uygulamayı çalıştırırken potansiyel olarak hassas ve kişisel verileri toplayan düzinelerce başka kuruluşun bulunabileceği gerçeğini söyledi. Uluslararası Bilgisayar Bilimleri Enstitüsü Ağ ve Güvenlik bölümünde araştırma bilimcisi ve ekibin bir üyesi olan Vallina-Rodriguez gelişmiş Lümen, bir uygulama monitörler Telefonunuzun hangi SDK'lara veri aktardığı.

Önemli bilgiler gömüldü

SDK'ların kontrolden çıkmasını sağlayan diğer bir darboğaz da, rızalarının genellikle derinlerde gömülü olmasıdır. Bir uygulamanın Gizlilik Politikası ve çoğu zaman geliştiriciler, kullanıcıların ne verdiklerinin altını açıkça çizmede başarısız olurlar. yukarı. Ayrıca uygulamanın güvenlik ayarları üçüncü taraf SDK'lar için geçerli olmadığından insanlara çok az seçenek kalıyor veya hiç seçenek kalmıyor.

“Aslında birçok uygulamanın gizlilik politikalarına ilişkin raporlarının sunduğu özellikleri gösteren kanıtlar var gerçek çalışma zamanı ve veri toplama davranışlarının eksik bir resmi," diye ekledi Narseo Vallina-Rodriguez.

Android 10'a kadar, SDK'lar ilgisiz iki uygulama arasındaki izinleri bile paylaşabilir. Bu nedenle, A uygulamasının konum iznine sahip olduğunu ve B'nin olmadığını ve her ikisinin de aynı SDK ile donatılmış olduğunu varsayalım, B'nin A'nın konum iznini besleyip GPS verilerinizi toplaması için makul bir şans var.

Tarayıcılardan farklı olarak uygulama izleyicileri de engelleyemezsiniz. Tek seçeneğiniz bir uygulamanın ayarlarına göz atmak ve işaretini kaldırdığınızdan emin olmaktır. Analitik için veri toplayın varsa kutu.

Ayrıca tarayıcınızın yerleşik araçlarıyla takipçileri engellemenize olanak tanıyan web uygulamalarını tarayıcınız aracılığıyla telefonunuzda kullanmaya başlayabilirsiniz. Instagram ve Tinder gibi önde gelen uygulamaların çoğu, büyük ölçüde normal mobil uygulamalar gibi davranan benzer web uygulamaları sunar. Bu süreçte ayrıca bir ton depolama alanından da tasarruf edeceksiniz ve Veri deposu.

Gizliliğiniz ancak tüm uygulama zincirindeki en zayıf halka kadar güçlüdür ve telefonlarda bu bağlantı bir SDK'dır. Ve maalesef verileriniz için daha fazla güvenlik vaat eden uygulamalara geçmek dışında bu konuda hiçbir şey yapamazsınız. Umarız Android ve iOS'un gelecekteki sürümlerinde Google ve Apple, üçüncü taraf izleyicilere karşı daha iyi korumalar sunacaktır.

Editörlerin Önerileri

• Bu dolandırıcı dolandırıcılık uygulaması Mac'lerin kurşun geçirmez olmadığını kanıtlıyor
• Apple'ın M1 çipinde bir kusur var ama endişelenmeyin
• Bu uygulamalar A.I. hayatınızı otomatikleştirmek ve zamandan tasarruf etmek için
• Microsoft, mesai saatleri dışında çalışmayı iyileştirmek için Outlook uygulamalarını yükseltiyor
• Microsoft'un yeni Office uygulaması Surface Duo'nun potansiyeline işaret ediyor