Vet lommelykt-appen din hvor du er? Unngå Android-tillatelser

Dørklokken ringte. Det er naboen min. "Hei Hva skjer?" Spurte jeg nervøst. Det er bare en uke siden artikkelen min om bombetruslene ved barnebarns høgskole.

"Hvorfor trenger en lommelykt GPS?"

"I tilfelle det gikk seg vill?" Han satte ikke pris på humoren min.

"Jeg vil laste denne lommelykt-appen på telefonen min, " forklarte naboen min. "Men hvorfor i * # $ trenger den å vite hvor jeg er?"

"Jeg vet ikke, " var det beste jeg hadde. Jeg ba om å se telefonen; det var dette som var på skjermen.

Jeg tapte hvorfor en lommelykt-app trenger tilgang til GPS-posisjonsdata. Det, pluss å måtte si "jeg vet ikke", er ikke hyggelig for meg. Jeg lovte lydløst å finne ut av det.

Det første jeg la merke til var det utrolige antallet nedlastinger - 10 millioner. Jeg lurte på hvor mange av de 10 millionene som var nysgjerrige på hvorfor appen ba om GPS-info.

Jeg sendte tekst til William Francis, min fyr til alt Android, og spurte om han visste hvorfor en lommelykt-app ville be om tillatelse til å bruke GPS-informasjon. Hans svar, "Det er ingen gode grunner."

Jeg var redd for det - på tide å bli alvor.

Side-sporet

Jeg kunne ikke finne noen god eller dårlig grunn - sannsynligvis hvorfor jeg ble sidesporet av denne artikkelen, "Mot skalerbar evaluering av mobilapplikasjoner gjennom folkemengdeforsyning og automatisering". Jævla skremmende tittel. Heldigvis var jeg kjent med to av forfatterne, Dr. Jason Hong og Dr. Janne Lindqvist.

Jeg ble positivt overrasket når jeg begynte å lese avisen. Naboen min er ikke alene. Det er nok mennesker som er forvirrede over Android-tillatelser til å garantere oppmerksomheten til et helt forskerteam:

"Ettersom mobilapper har tilgang til både sensorer for mobile enheter og også brukernes personlige data, er det avgjørende for brukerne å vite hvordan mobilapper bruker sensitiv informasjon og ressurser på enhetene sine."

Forskningen

Jeg ble skuffet over å lære teamets løsning, App Scanner, ikke er ferdig. Mens jeg vil ta en titt på den skybaserte tjenesten, først noen spørsmål til professorene.

Kassner : Dr. Lindqvist, hva kan brukere gjøre for å bedre forstå hva hver tillatelsesforespørsel ber om? Lindqvist : I dag kan du ikke gjøre mye. De fleste applikasjoner forteller ikke hva de bruker informasjonen til. Jeg kan foreslå å prøve å bestemme om applikasjonen virkelig trenger hver av tillatelsene. Sjekk også om det er likeverdige applikasjoner som ikke krever tillatelse du er opptatt av.

En tommelfingerregel her er at alt koster. Hvis du ikke betaler for en app, vil den sannsynligvis finansiere seg selv gjennom annonsering. Da kan din personlig identifiserende informasjon bli avslørt for tredjepart så vel som apputvikleren.

Kassner : Dr. Hong, denne Technology Review-artikkelen siterte deg for å si:

"Den grunnleggende ideen her er: Hvordan hjelper du folk som ikke er eksperter på nettverk og datasikkerhet å forstå hva en app gjør?"

Hvordan vil du hjelpe?

Hong : Android Market (Play Store) har over 400 000 apper. Apple App Store har over 550 000 apper. Problemet er imidlertid hvordan vet vi hva en app vil gjøre når den lastes på en mobiltelefon? Hvordan kan vi også kommunisere hva en app gjør for brukere?

For dette prosjektet foreslår vi to hovedaktiviteter. Den første er å bygge et system som kan semi-automatisere analysen av hva en Android-app gjør med hensyn til personvern. For eksempel:

  • Hvor ofte deler denne appen sin beliggenhet?
  • Hvilke nettverk kobler den til?
  • Laster den opp en del av kontaktlisten til en server?

Den andre hovedaktiviteten er å designe et brukergrensesnitt som gjør det enkelt for folk å forstå hva appen vil gjøre. For tiden viser apper et manifest som beskriver på et veldig grovt nivå hva en app vil gjøre (for eksempel sjekker plassering, bruker nettverk, osv.). Vi ønsker å designe og evaluere flere forskjellige grensesnitt for å kommunisere til folk hva en app gjør, basert på vår halvautomatiske analyse.

App-skanner

Lysbildet nedenfor omslutter aktivitetene Dr. Hong refererte til og - du gjettet det - App Scanner. Squiddy er det semi-automatiserte delsystemet til App Scanner Dr. Hong også referert til ovenfor. William og jeg samarbeider med professor Landon Cox, medutvikler av TaintDroid, en sentral ingrediens i Squiddy. Vi håper å få ordnet det stykke av puslespillet om noen uker.

Den delen av App Scanner jeg ønsker å diskutere består av:

  • CrowdScanner : Ansvarlig for å fange folks oppfatninger av hvordan en applikasjon oppfører seg.
  • Personvernvurderer : Kvantifiserer den personlige informasjonen en app kan utlede ved å bruke resultatene fra Squiddys evaluering. Personvernvurdereren presenterer resultatene gjennom scenarier som er mer forståelige for brukerne.
  • Privacy Summarizer : Gir sluttbrukernes personvernsammendrag generert ved hjelp av output fra både CrowdScanner og Privacy Evaluator.

Følgende lysbilde er et eksempel på et sammendrag av personvern. Det hender bare å handle om lommelykt-appen naboen min spurte om.

Legg merke til brukerprosentene? De er resultatet av et ganske unikt aspekt av App Scanner - crowd-sourcing.

Crowd-sourcing

Et problem forskerne står overfor er det store antallet apper. Hvis det ikke er nok, innser forskerne også at det kreves en viss menneskelig interaksjon for å lage sammendragene. Etter litt hodeskraping kom forskerne med en løsning for begge utfordringene:

"Gitt omfanget av deltakere som er tilgjengelige på crowd-sourcing-plattformer som Amazon Mechanical Turk og bruk av automatiserte teknikker, foreslår vi at App Scanner er en skalerbar tilnærming for å analysere mobilapplikasjoner og gi stor dekning av appmarkeder.

Videre antar vi at ved å stole på visdommen til folkemengdene, kan AppScanner produsere evalueringer av applikasjonsatferd som vil være nær ekspertanalyse av appens oppførsel. "

Hvis jeg ikke tar feil, er det et stort skifte i akademia å stole på "klokskapen til folkemengdene". Samtidig er det sannsynligvis den eneste måten å evaluere millionpluss-appene der ute.

Siste tanker

Jeg applauderer forskerteamet for å prøve å redusere kompleksiteten rundt Android-tillatelser. Deres ønsker å rette oppmerksomheten mot uventet bruk av smarttelefonressurser vil holde alle ærlige. Forhåpentligvis vil de ha App Scanner oppe og jobbe snart.

Jeg vil også takke Dr. Lindqvist og Dr. Hong for at de hjalp til med denne artikkelen.

© Copyright 2021 | pepebotifarra.com