你沒被告知的手機應用程式與資料外洩

今年初發生在iOS的事件,有應用程式在未經使用者允許或甚至未告知下就從通訊錄裡收集資料。

這問題第一次引起注意是在二月初,有個開發人員發現一個社群媒體應用程式 – Path會從使用者的通訊錄裡取得幾乎全部的資料,包括名稱、電子郵件地址和電話號碼,而且會將這些資料在未經使用者許可下送回Path的伺服器。

經過國會議員地介入並要求Apple回答此問題時,一大堆的應用程式開發商,包括Foursquare,Hipster和最近被收購的Instagram都趕緊修改自己的軟體,讓它在要求資料時會出現要求授權的訊息。

這裡要澄清一點,Apple對國會議員的說法是真實的:「應用程式未經使用者許可收集或傳送使用者資料違反了我們的規定。」但顯然地,這在並不能阻止不法或輕忽的開發商去「遺忘」這個規定。但Apple公司已經表示它會在未來的版本解決這個問題。

在比較兩個最受歡迎的智慧手機平台時,Android的安全性和隱私控制往往落在第二名。但它已經有內建功能會強制應用程式在存取手機通訊錄時要先取得使用者授權。

 

但在這裡我還是要提出一個和一般人的習慣有關的根本性安全問題,就是大多數使用者並不知道或不關心自己的手機或是會發生在他們個人資料上的事情,所以這個要求授權的對話框往往只是流於形式。

就算現在的大家都比較有隱私意識了,使用者往往還是會點選任何在手機上出現的訊息。他們只想要能夠儘快開始,好來玩他們的手機軟體。

而且出現在智慧手機上的簡短訊息也很少會解釋清楚當這些資料上傳到雲端之後,究竟會發生什麼事 – 它會被如何使用,它會被用在哪裡,以及傳輸過程和儲存是否安全。所以就會出現我稱之為「疏忽型資料外洩」的情況。

這裡有好幾個安全和隱私上的問題,但最嚴重的還是帶自己的智慧手機在公司內使用,他們同事、客戶和生意夥伴的機密資料都有可能在不經意的情況下就洩漏出去。

目前的應用程式在要求使用者授權去存取iOS通訊錄時並不會分群組,即使他們有分,使用者也可能會意外地將業務聯絡人存在個人群組裡,而非業務群組,接著又允許應用程式去存取個人群組,就再次發生了疏忽型資料外洩事件。

在最壞的狀況下,疏忽型資料外洩有什麼危險呢?

首先,許多應用程式都只說會將資訊以「安全」的方式送回他們的伺服器,並沒有說明究竟是如何作的。就算真的用安全的方式送回,之後會發生的事情可能更加重要。它會用純文字格式儲存嗎?開發人員的資料庫安全嗎?有多安全?誰可以瀏覽這些資料?在什麼情況下?

就算一開始想要複製使用者資料的動機是善意的,因為這些通常是原本信譽良好的應用程式,也不能保證這些資料到最後都還是安全的。如果資料用純文字格式儲存就糟糕了,而Path就被發現這樣做了。

再怎麼說,大部分開發商只是想創造出最親民,最引人注意的應用程式。如果它是社群性質的軟體,可能會希望找到你通訊錄上的所有人,並利用這資料來提昇你使用該軟體的感受。噢,也可能因此賺上個十億美元…

不幸的是他們多半不會使用雜湊技術,這可以幫他們有效地將資料去個人化,也會讓壞人拿到這些資料時變得無用。更進一步是這些雲端服務供應商應該使用基於策略的金鑰管理和強化加密來保護他們所複製的珍貴(對某人而言)資料。

當然,如果應用程式背後的人或組織帶有惡意的話,那麼我們所看到的疏忽型資料外洩可以讓他們去挖掘到豐富的個人資料,用來發動網路釣魚(Phishing)詐騙攻擊或其他社交工程陷阱( Social Engineering)攻擊。

另外一個問題是,當這家公司被第三者接手的話呢,這些使用者資料會如何?不要真的以為它會被銷燬或是你的權利會被保留。

這有個法律上的模糊地帶,當使用者輕忽地將公司資料經由利用雲端運算技術的用程式洩漏出去。雲端服務的使用條款可能會宣稱他們擁有這些資料的所有權,儘管這可能和你的公司規定甚或是監管條例有所牴觸。如果你告上法院,資料可能還是會屬於你。但社群媒體也可能說這些資料是他們的,而且就真的當成自己的資料使用,除非你可以採取法律行動去阻止他們。這可能並不是什麼問題,但如果你的通訊錄上有董事會手機號碼時就可能是個大問題。一旦資料出了你的手,你能做的就不多了。

疏忽型資料外洩所面臨的困難點之一是沒有簡單的解決方法。讓這整件事情變得更加棘手的原因是即使人們對於自己的通訊錄非常的小心,又怎麼知道自己的資料不會從朋友們的各種手機軟體裡被吸進雲裡呢?

Apple的確開始要強制開發者在存取iOS通訊錄時要提出警告並要求使用者授權,但開發商也需要更加符合使用者的隱私要求,讓資料儲存過程更加安全。

@原文出處:Oblivious Data Loss and the Wild West of Mobile App Security作者:Aaron Lewis

@延伸閱讀:
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務

保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

 

◎ 歡迎加入趨勢科技社群網站