"Xin chào @Aeromexico, tại sao bạn lại cố gắng sử dụng máy ảnh điện thoại di động của tôi?" Với dòng tweet này, nhà báo người Anh Duncan Tucker đã hỏi hãng hàng không vài tuần trước tại sao anh ta cố gắng truy cập vào máy ảnh của điện thoại khi, ngoài ra, anh ta đã bị vô hiệu hóa quyền tương ứng. Hầu như tất cả các ứng dụng trên thị trường đều thu thập dữ liệu người dùng và có quyền truy cập vào một số quyền nhất định. Nhưng trong nhiều trường hợp, người dùng thoát ra khi các ứng dụng sử dụng chúng và nếu họ làm điều đó một cách hợp pháp. Có thể biết khi nào một ứng dụng truy cập vào máy ảnh, ảnh hoặc micrô của điện thoại di động không? Dưới đây là một số mẹo để quản lý quyền ứng dụng.
Javier Tallon, thành viên của Nhóm Bảo vệ và An ninh Máy tính thuộc Hội đồng Cao đẳng Kỹ thuật Máy tính, giải thích liên quan đến trường hợp của Tucker rằng việc truy cập vào máy ảnh của hãng hàng không Mexico có thể là hợp pháp trong một số tình huống. Ví dụ, trong trường hợp nó được sử dụng để đọc mã tiền giấy. Nhưng, đánh giá bằng tweet của nhà báo, ứng dụng đã cố gắng truy cập quyền này vào thời điểm không áp dụng.
Tucker phát hiện ra ý định của hãng hàng không Mexico vì anh ta đã kích hoạt "màn hình cho phép ứng dụng" trên điện thoại thông minh của mình. Đây là một chức năng chỉ có sẵn cho một số thiết bị đầu cuối của Samsung cho phép bạn cấp quyền theo yêu cầu cho từng ứng dụng và biết khi nào nó được sử dụng. "Nhận thông báo khi các ứng dụng chạy trong nền sử dụng các quyền bạn đã chọn" được báo cáo khi bạn bật tính năng này trong cài đặt điện thoại. Ngoài ra, tất cả hoạt động này được ghi lại trong lịch sử mà người dùng có thể xem lại bất cứ lúc nào.
Giám sát giấy phép, trong trường hợp này, cảnh báo ý định và không quá nhiều vụ hành quyết, theo Tallón, người đồng sáng lập và giám đốc kỹ thuật và vận hành của JT sec Beyond IT Security: Triệu Chúng tôi có thể nghĩ rằng, khi chúng tôi xử lý ứng dụng của Sử dụng camera, màn hình cho phép phát hiện hành vi đáng ngờ và đưa ra cảnh báo. Tuy nhiên, ứng dụng không bao giờ có thể truy cập vào camera của thiết bị vì quyền đã bị vô hiệu hóa. "
Mỗi ứng dụng cho phép thông tin gì?
Thông thường, người dùng có thể biết danh sách các quyền mà ứng dụng cần để hoạt động tại thời điểm cài đặt. Các ứng dụng thường yêu cầu người dùng trung bình từ ba đến bốn quyền, theo Tallon. Theo ông, các quyền được yêu cầu nhiều nhất là quyền truy cập vào tệp người dùng, máy ảnh của thiết bị và dịch vụ định vị. Và các ứng dụng có xu hướng yêu cầu nhiều quyền nhất là những ứng dụng liên quan đến phương tiện truyền thông xã hội và mua sắm trực tuyến.
"Một khi ứng dụng được cài đặt, chúng tôi có thể biết lần đầu tiên nó sử dụng mỗi quyền, vì nó sẽ yêu cầu người dùng thực thi", Ismael Morales, thành viên của Nhóm bảo mật quốc phòng CCII và CCI và giám đốc kỹ thuật về bảo mật mạng tại Healthy Techgroup . Sau đó, các ứng dụng sẽ không cần sự đồng ý của người dùng mỗi khi họ sử dụng các quyền được chấp nhận trước đó: "Từ thời điểm này, người dùng không còn biết khi nào các ứng dụng sử dụng quyền".
Trên thực tế, tính năng di động Tucker chỉ khả dụng trên một số điện thoại Samsung và không phổ biến trên các thiết bị đầu cuối khác. "Người dùng thông thường rất khó biết được ứng dụng hoặc thiết bị nào có quyền truy cập, ngoài tầm kiểm soát cho phép", Tallon nói. Để tự bảo vệ mình, các chuyên gia được tư vấn khuyên bạn chỉ nên cài đặt các ứng dụng thực sự cần thiết và kiểm tra trước khi thực hiện nếu các quyền được yêu cầu có thể bị lạm dụng. Morales thông báo rằng trong trường hợp có một vài lựa chọn thay thế khi cài đặt một ứng dụng có cùng chức năng, tốt nhất là cài đặt các quyền tối thiểu mà chúng tôi cho là lạm dụng để yêu cầu.
Công cụ
Nhà nghiên cứu ICSI Serge Egelman giải thích rằng có nhiều trang web và công cụ hiển thị các quyền mà ứng dụng yêu cầu, nhưng không báo cáo liệu các quyền đó có thực sự được sử dụng trong thực tế hay thời gian chính xác mà chúng được sử dụng: nó không giống như biết rằng nó thực sự được sử dụng. "
Để phát hiện những quyền mà ứng dụng sử dụng và tại thời điểm nào, như đã lưu ý, sistema operativo phải được sửa đổi. Nó đã làm như vậy với một nhóm các nhà nghiên cứu và đã tạo ra AppC điều tra, một công ty chịu trách nhiệm xác minh hành vi của các ứng dụng Android khác nhau. Trong nhiều năm, chúng tôi đã xây dựng phiên bản Android tùy chỉnh của riêng mình, bao gồm thiết bị để theo dõi quyền truy cập dữ liệu cá nhân của ứng dụng. Bởi vì điều này đòi hỏi phải sửa đổi sistema operativoNó không thể được thực hiện trong một ứng dụng được cài đặt từ Play Store, ông nói.
AppC điều tra cung cấp thông tin về hành vi của các ứng dụng khác nhau trên thị trường trên trang web của mình để người dùng có thể biết dữ liệu nào họ truy cập và nếu chúng được chia sẻ với bên thứ ba. Theo Egelman, đó là một trong số ít cách người tiêu dùng hiểu được ý nghĩa riêng tư của các ứng dụng họ sử dụng. Ông nhấn mạnh rằng trước đây chỉ có hai cách để biết: đọc chính sách bảo mật và kiểm tra lưu lượng mạng. Tất cả chúng ta đều biết về các vấn đề với chính sách quyền riêng tư. Chúng mơ hồ, tốn thời gian và khó đọc. Thứ hai, hy vọng người dùng trung bình theo dõi và phân tích lưu lượng mạng là vô lý, và điều đó có nghĩa là khi phát hiện hành vi xấu, nó sẽ kết thúc ", ông nói thêm.
Joel Reardon, phó giáo sư tại Đại học Calgary và một kiến trúc sư khác của AppC điều tra, đặt câu hỏi về khả năng sử dụng của một công cụ liên tục thông báo cho người dùng rằng một ứng dụng sẽ sử dụng sự cho phép của họ. Đối với anh ta, sẽ hữu ích nếu người dùng có thể, ví dụ, từ chối truy cập vào vị trí, micrô hoặc máy ảnh khi màn hình đầu cuối hoặc âm thanh bị tắt.
Cả Egelman và Reardon đều nhấn mạnh rằng một số ứng dụng tìm cách truy cập một số thông tin nhất định ngay cả khi người dùng đã từ chối cấp phép rõ ràng. Cả hai đã tham gia vào một cuộc điều tra được thực hiện bởi một nhóm các chuyên gia an ninh mạng, đã tiết lộ rằng có tới 12.923 ứng dụng đã tìm ra cách để tiếp tục thu thập thông tin cá nhân mặc dù từ chối rõ ràng quyền của họ. Số lượng người dùng tiềm năng bị ảnh hưởng bởi những phát hiện này, theo họ, là "hàng trăm triệu".
LỜI KHUYÊN BẢO VỆ BẠN NHƯ MỘT NGƯỜI DÙNG
Các nhà phát triển ứng dụng và thậm chí các nhà sản xuất thiết bị đầu cuối thường xuyên thu thập thông tin người dùng mà không có sự đồng ý của họ. Điều này được Tallón tuyên bố, người chỉ ra rằng có một sự khác biệt đáng kể về chất lượng của smartphones từ các nhà sản xuất khác nhau: Mặc dù xu hướng nghĩ rằng các nhà sản xuất nổi tiếng nhất là đáng tin cậy nhất, rõ ràng lưu lượng thông tin người dùng quy mô lớn là một doanh nghiệp rất sinh lợi và trong đó, rất có thể, lớn nhất các công ty trong thế giới của smartphones tham gia. "
Do đó, ông chỉ ra rằng ý tưởng là cố gắng sử dụng các thiết bị có bảo mật đã được xác minh và chứng nhận bởi các chuyên gia trong lĩnh vực độc lập với các nhà sản xuất.
Về phần mình, Morales cảnh báo rằng "một trong những điểm yếu nhất của điện thoại thông minh là sạc". Như ông giải thích, có những dây cáp để sạc điện thoại di động không cho phép trao đổi dữ liệu khi, ví dụ, điện thoại di động được kết nối với máy tính. "Trong trường hợp này, một trong những biện pháp chính là cố gắng tránh sạc điện thoại di động bằng cáp không dành riêng cho sạc ở nơi công cộng", ông nói.
