Undersøkelsen til franske CNIL og Inria viser at Apples forhåndskontroll av applikasjoner ikke hindrer at mange applikasjoner til iOS aksesserer og overfører privat brukerinformasjon til utgiverne, selv om dette ikke er nødvendig for funksjonaliteten som applikasjonene tilbyr. (Bilde: MJ)

Overfører mengder av private data

Avslørende undersøkelse om iOS-applikasjoner.

At det finnes mange tvilsomme mobilapplikasjon tilgjengelig, er kjent for mange etter «utallige» rapporter fra en rekke leverandører av IT-sikkerhetsløsninger. Men nesten alle rapportene omhandler applikasjoner til Android.

Det franske datatilsynet, CNIL, har sammen med den offentlige forskningsinstitusjonen Inria har gjennomført en feltundersøkelse hvor seks ansatte benyttet hver sin iPhone i en periode på tre måneder. Mobilene ble utstyrt med et egenutviklet verktøy som registrerer i hvilken grad andre applikasjoner aksesserer personlige data som geografisk posisjon, bilder, adresseboken og den unike ID-en til mobilen. Det var nødvendig å «jailbreake» mobilene for å kunne kjøre verktøyet. Et tilsvarende verktøy for Android ventes å bli klart om noen uker.

Hver av de seks testbrukerne fikk beskjed om å benytte mobilene som om de hadde vært deres egen, inkludert å installere ønskede tredjepartsapplikasjoner. Personene installerte i perioden mellom én og hundre applikasjoner.

Til sammen ble det samlet inn 9 gigabyte med data fra i alt 7 millioner ulike hendelser, generert av 189 applikasjoner. Den mest utbredte typen hendelse var registrering av den geografiske posisjonen, i gjennomsnitt 76 per dag per bruker.

De mest ivrige brukerne av den geografiske posisjonen skal dag ha vært applikasjoner hvor slike forespørsler kan forsvares – Foursquare, Apples Maps-applikasjon, AroundMe og Apples Camera-applikasjon. Men hele 31 prosent av alle applikasjonene ba om slik informasjon i løpet av testperioden.

Av de 189 applikasjonen var det 176 som tok i bruk nettverket, ofte mer eller mindre permanent, uten at brukerne ble gitt klar beskjed om det eller uten at det kunne forsvares. Det siste gjaldt særlig spill.

Nesten halvparten av applikasjonene ba om tilgang til UDID, den unike ID-en til iPhone-mobilene. 16 prosent ba om navnet på enheten.

Andelen av applikasjonene som ba om tilgang til ulike eksterne kontoer, adresseboken, Apple-kontoen eller kalenderen var på henholdsvis 10, 8, 2 og 2 prosent.

I mange av tilfellene vil selvfølgelig applikasjonene ha behov for tilgang til brukerdata for å kunne tilby den funksjonaliteten de lover. Men langt fra alltid.

Identifisering

CNIL skriver i en pressemelding at det er vanskelig å forstå hva applikasjonene egentlig skal med navnet på enheten. Dette er informasjon som kan endres av brukerne og som på ingen måte utgjør noen unik identifikator. Likevel hentes denne informasjonen av 36 av applikasjonene som har blitt brukt i testen.

– Man kan forestille seg at utviklerne brukere dette til å analysere bruken av applikasjonen, eller til å forsøke å identifisere en person med flere enheter, skriver CNIL.

Blant de mange applikasjonene som hentet inn UDID-en, var det 33 applikasjoner som flere ganger om dagen overførte identifikatoren i klartekst over nettet til utgiveren. En applikasjon til en ikke navngitt dagsavis ba i løpet av tremånedersperioden om UDID-en 1989 ganger og overførte informasjonen via nettet 614 ganger.

CNIL skriver at Apple planlegger å nekte utviklere tilgang til UDID-en i framtiden. I stedet bes de bruke den mindre permanente Advertising Identifier som ble introdusert iOS 6.

Men i tillegg har det ifølge CNIL begynt å bli vanlig at mobilapplikasjoner oppretter sporingscookies på mobiltelefonene, noe som ifølge CNIL er vanskelig eller umulig å slette for brukerne. Slike cookies brukes blant annet i forbindelse med rettet annonsering.

Ifølge amerikanske PC World skal kun ikke-kryptert trafikk ha blitt overvåket og analysert i undersøkelsen, som dessuten skal ha foregått på enheter med iOS 5. Det skal ha vært tekniske årsaker til dette. En iOS 6-utgave av testapplikasjonen skal kunne knyttes til nettverks-API-et på et punkt hvor trafikken ennå ikke har blitt kryptert.

CNIL og Inria opplyser at de vil fortsette med slike undersøkelser innen prosjektet som kalles for Mobilitics. Dette vil i framtiden også omfatte andre smartmobilplattformer.

Til toppen