Приложения для iPhone пополнили список мобильных шпионов

Не успела группа американских ученых сообщить о шпионских наклонностях приложений из Androidinfo-icon Market, как появилось исследование, выполненное их коллегой из университета Бакнелла; в этой работе изучено поведение программных продуктов для операционной системы Appleinfo-icon iOS. Оказалось, что значительное число приложений активно собирает для своих создателей сведения, благодаря которым можно однозначно идентифицировать любой конкретный экземпляр продукции Apple.



Apple позволяет разработчикам извлекать и использовать так называемый UDID - уникальный идентификатор устройства - для определения своих продуктов (iPhone, iPad, iPod). В теории этот функционал предназначен для удаленного хранения настроек приложений, игровых рекордов и других подобных данных. Исследователи отмечают, что UDID весьма сильно напоминает систему PSN (серийный номер процессора), которую в конце прошлого века компания Intelinfo-icon пыталась внедрить в свои ЦП Pentium 3; тогда защитники прав и свобод обрушили шквал критики на эту систему, и Intel пришлось свернуть проект. Теперь же, как ни странно, никакой заметной реакции на решение Apple нет - хотя, по словам автора исследования Эрика Смита, UDID может без труда быть увязан с персональными данными пользователя и, следовательно, должен вызывать ничуть не меньшее беспокойство.


Как и ОС Android, iOS предупреждает владельца устройства о возможном использовании его личных данных устанавливаемым приложением, но не предоставляет никаких сведений о том, что за информация собирается этим продуктом и как она будет впоследствии применена.


Г-н Смит изучил 57 популярных бесплатных приложений из магазина iTunes Store, отследив и запротоколировав генерируемый ими трафик при помощи анализатора сетевых пакетов. Оказалось, что 68% программ открыто отправляли сведения о UDID свом разработчикам или рекламным агентствам, а еще 18% отсылали на посторонние серверы зашифрованные данные, среди которых вполне мог быть и уникальный идентификатор устройства. Только 14% приложений совершенно точно ни с кем не делились информацией о UDID.


Кроме того, ученый обнаружил, что приложение для трансляции новостей BBC установило на исследуемое устройство аутентификационный файл со сроком действия в 4 года, а дата истечения отслеживаемого cookie от программы ABC News вообще оказалась назначена на 2030 год. "Подобные файлы аутентификации, обладающие продолжительным сроком действия, позволят посторонним лицам отслеживать не только определенные устройства, но и смену телефонов их владельцами по мере того, как с течением времени они будут каждые несколько лет покупать новую модель iPhone", - предупредил г-н Смит.


Apple, конечно, настоятельно рекомендует разработчикам не злоупотреблять возможностями UDID и не соотносить его с учетными записями пользователей. Однако рекомендация - это не обязательство, а добрая воля и порядочность поставщика приложений - явление переменное. К примеру, продукт CBS News отсылает UDID в связке с именем владельца устройства (которое часто является настоящими именем и фамилией), а некоторые программы - например, от Amazon, Facebook или Twitter - теоретически могут увязать UDID с конкретной личностью в реальном мире.


The Register

Подпишитесь
в Facebook

Я уже с вами