セキュリティウォッチ あなたのデータであなたの税務アプリは何をしていますか?

あなたのデータであなたの税務アプリは何をしていますか?

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
Anonim

AndroidおよびiOSの一部の税および関連する財務アプリは、ユーザーデータを不必要に収集および共有している可能性があります。 モバイルデバイスにこれらのアプリがありますか?

AppthorityはAndroidおよびiOSデバイス向けのいくつかの税務財務管理アプリを分析し、ユーザーの場所の追跡、連絡先リストへのアクセス、サードパーティとのユーザーデータの共有など、いくつかの危険な行動を特定したと、Appthorityの社長兼創設者であるDomingo Guerra氏はSecurityWatchに語った

Appthorityによれば、多くのアプリは、アドレス帳から取得した場所や連絡先情報などのユーザーデータをサードパーティの広告ネットワークに送信します。 広告ネットワークとの通信のほとんどは、平文で行われました。 H&Rブロックアプリがユーザーの場所にアクセスできることは理にかなっていますが、アプリではユーザーが最も近い店頭を見つけることができるため、残りのアプリがその情報を必要としたのは「あまり明確ではありません」でした。

「残りは広告ネットワークでその場所を共有しているだけです」とゲラは言いました。

アプリのリストには、H&R Block TaxPrep 1040EZや完全なH&R Blockアプリ、TaxCaster、Intuit(TurboTaxの背後にある会社)からのMy Tax Refund、Income Tax Calculator 2012という名前のSydneyITGuy、およびRazRonからの連邦税1040EZ、ゲラは言いました。 Appthorityは、独自の自動モバイルアプリリスク管理サービスを使用して分析を実行しました。

弱い暗号化なし

Appthorityは、アプリの暗号化は一般に弱く、すべてのトラフィックを暗号化するのではなく、一部のデータトラフィックを選択的に保護することを選択しました。 いくつかのアプリ(Guerraはどのアプリを指定しなかった)は、暗号化ランダマイザーを利用する代わりに予測可能な暗号化暗号を使用しました。 RazRonのような「名前のない」アプリは、暗号化をまったく使用しませんでした。

有名アプリの1つには、実行可能ファイル内のデバッグ情報にソースコードへのファイルパスが含まれていました。 Appthority氏によると、ファイルパスには多くの場合、アプリ開発者や会社をターゲットにするために使用できるユーザー名やその他の情報が含まれています。 繰り返しますが、Guerraはアプリを名前で識別しませんでした。

「この情報を漏らすことは一般に大きなリスクではありませんが」「可能であれば回避すべきです」とゲラは言いました。

データの公開

一部のアプリは、ユーザーがW2の写真を撮影できる機能を提供し、その後、画像がデバイスの「カメラロール」に保存されたとAppthorityが発見しました。 これは、iCloudやGoogle+などのクラウドサービスを自動的にアップロードまたは同期するユーザーにとって、その画像が安全でない場所に保存され、潜在的に公開されるため、深刻な問題になる可能性があります。

H&R Block 1040EZアプリのiOSバージョンとAndroidバージョンの両方でAdMob、JumpTab、TapJoyAdsなどの広告ネットワークが使用されましたが、H&R Blockアプリのフルバージョンでは広告が表示されません、とAppthorityは述べています。

iOS対Android

Guerra氏によると、同じアプリのiOSバージョンとAndroidバージョンの間で、危険な動作のタイプに多くの違いはありませんでした。 ほとんどの違いは、オペレーティングシステムがアクセス許可を処理する方法に要約されています。 Androidでは、ユーザーがアプリをインストールしてオールオアナッシングアプローチで実行する前に、アプリにすべての権限を表示する必要があります。 対照的に、iOSは状況が発生すると許可を求めます。 たとえば、ユーザーがストアロケーター機能を使用しようとするまで、iOSアプリはユーザーの場所にアクセスできません。

最新のルールでは、iOS 6は、アプリ開発者がデバイスIDとUDIDまたはEMEI番号に基づいてユーザーを追跡することを禁止しています。 この方法は、Androidアプリの間ではまだ一般的です。 H&R Block 1040EZアプリのiOSバージョンはユーザーを追跡しませんが、同じアプリのAndroidバージョンはモバイルデバイスID、モバイルプラットフォームのビルドとバージョン情報、モバイルデバイスのサブスクライバーIDを収集することで追跡します、とゲラは言いました。

Androidリクエストの完全なH&Rブロックアプリは、デバイスにインストールされている他のすべてのアプリのリストにアクセスできます。 iOSバージョンのアプリは、オペレーティングシステムがこれを許可していないため、この情報にアクセスできません。

危険かどうか?

この時点で特に危険なものはありません。これらのアプリはパスワードと財務記録をクリアテキストで送信していません。 ただし、アプリがユーザーデータを不必要に共有しているという事実は残っています。 1つのアプリを除き、他のアプリはいずれも店舗検索機能を提供していませんでした。 では、なぜこれらの他のアプリがユーザーの位置にアクセスする必要があるのですか? これらのアプリがユーザーの連絡先にアクセスする必要があるのはなぜですか? それは税金を準備するのに必要ではないようです。

Appthorityはいくつかの古いアプリを「ポイントを証明するために」見ました、とGeurraは言いました。 これらのアプリの多くには、2012年の税制アプリなどの有効期限があります。ユーザーは、アプリの使用が終了した後、そのアプリを使用しないことが予想されます。

これらの「使い捨てアプリ」が市場から引き出されることはめったにありません。ユーザーは、これらのアプリがユーザーのデバイス上のデータにアクセスできることに注意する必要があります。

あなたのデータであなたの税務アプリは何をしていますか?