Publicēts 4. oktobrī, 2010.
Nepatīkamu atklājumu izdarījuši Intel Labs, Penn State un Djūka Universitātes pētnieki – ar TaintDriod sistēmas paplašinājumu analizējot populāru Android operētājsistēmas spēļu un lietojumprogrammu analīzi, atklājusies visai nepatīkama aina – liela daļa lietojumprogrammu jūs izspiego.
Vesela puse no 30 pētītajām aplikācijām, ierīces lietotājam par to nepaziņojot, programmas izstrādātājiem un reklāmdevējiem nodod informāciju par jūsu atrašanās vietu un/vai citu informāciju - IMEI numuru, atmiņā saglabātajiem kontaktiem u.tml. Pētījumam (PDF) tika izvēlētas nejauši izraudzītas programmas no 358 populārāko Andriod programmu saraksta. Vēl ļaunāk - atsevišķas aplikācijas to darīja pat nestartētas. Tāda, lūk ir pilnīgi atvērtas sistēmas ēnas puse… Tiesa, taisnības labad jāteic, ka līdzīgā situācijā ir arī citu operētājsistēmu (tai skaitā datoru) lietotāji. Un tas ir abpusēji griezīgs zobens - totāla kontrole pār izstrādātāju tirgū laistajām programmām nozīmē salīdzinoši ilgu gaidīšanas laiku un atteikumus, savukārt, pilnīga brīvība noved pie privātas informācijas vākšanas bez lietotāja piekrišanas… Izķert šādas programmas nemaz nav vienkārši, zinot to, kāds ir jaunizstrādāto aplikāciju skaits. No otras puses - informācija par lietotāju un viņa ieradumiem ir vērtīga prece reklāmas tigū. Tieši tāpēc "godīga" programma vispirms jums pajautā, vai esat ar mieru dalīties informācijā, teiksim, par savu šībrīža atrašanās vietu. Un dara to katru reizi, kad tiek startēta.
Pat stingri kontrolētajā Apple AppStore spiegotājas programmas tika ar blīkšķi iznīdētas tikai pēc tam, kad Apple atklāja, ka to sniegtā informācija tikusi izmantota pašas Apple izspiegošanai. Sacēlās tracis un tika izmainīti noteikumi programmu izstrādātājiem un reklāmdevējiem.
2. Ja programma man rāda reklāmas, labāk, lai tās būtu lokalizētas tuvāk manām potenciālajām vajadzībām, tādēļ, protams, reklāmas servisam ir nepieciešams zināt manu atrašanās vietu - tātad koordinātes (kaut vai ļoti aptuveni, kaut vai valsts ģeogrāfijas līmenī).
3. Daļa izstrādātāju pieļauj vienkārši kļūdas darbā ar pieejamo informāciju - nezināšanas utt. dēļ uzstāda programmai nevajadzīgi augstas piekļuves prasības, nosūta nesahašotus identifikatorus utt.
Protams, ir sliktie izņēmumi, bet tad, piemēram, skat. 1. punktu.
Un vispār es teiktu, ka šeit nav korekti uzreiz runāt par nezkādām "izspiegošanām". Ja es taisu programmu un man vajag kaut kā zināt, ka nākamreiz pie mana servera ir pieslēdzies tas pats lietotājs (lai, piemēram, nodrošinātu viņam kaut kādu viņa iepriekš izvēlētu servisu), ir nepieciešams viņu kaut kā identificēt. Var nosūtīt IMEI numuru. Var ģenerēt kaut kādu jaunu kodu. Var izmantot lietotājvārdu un paroli. Bet vienalga neizbēgami kaut ko tādu vajadzēs. To, protams, jānosūta sahašotu, lai īstie kodi/numuri nekur nav atklāti redzami. Un viss ir kārtībā. Katru reizi par šo nosūtīšanu paziņot lietotājam ir nepraktiski un bezjēdzīgi. Pietiek ar EULA. Un rakstā minētajā pētījumā tas arī bija viens no galvenajiem iebildumiem pret dažām programmām - EULA vai nu nav vai nepiemin tik detalizēti par info sūtīšanu. Nevajag uzpūst ziloni no visa.
Bonusā pieminēšu, ka šādu drošības pētījumu vajadzētu izdarīt arī ar, piemēram, iPhone, BET NEATKARĪGU pētījumu izdarīt NEVARAM, jo... tā taču NAV atvērta sistēma... Kas to lai zina, ko tas aparāts sūta... Tur gan ir jāsāk baidīties. :) Tāda, lūk, ir pilnīgi aizvērtas platformas ēnas puse. :)
Dažus mēnešus atpakaļ bija ziņas, ka no kaut kāda servisa piedāvātāja noplūda datubāze, kur bija daudzu iPad lietotāju IMEI numuri kopā ar emailiem un vārdiem utt. Jau aizmirsāt?