Studi: Aplikasi ponsel melihat data pribadi lebih dari yang diperlukan

Aplikasi ponsel mengakses data pribadi pengguna dan mengirimkannya ke server jauh lebih banyak daripada tampak sangat diperlukan, sementara pengguna memiliki alat yang tidak memadai untuk memantau atau mengontrol akses tersebut, menurut sebuah studi baru oleh dua lembaga pemerintah Perancis.

Komisi Nasional Prancis tentang Komputasi dan Liberty (CNIL) mempelajari perilaku 189 aplikasi pada enam iPhone dilengkapi dengan perangkat lunak dan alat analisis pemantauan yang dikembangkan oleh Institut Nasional Prancis untuk Penelitian di bidang Ilmu Komputer dan Kontrol (INRIA). Tujuannya adalah untuk meningkatkan pemahaman umum tentang cara aplikasi menggunakan data pribadi, bukan untuk menunjuk jari pada pengembang tertentu, Presiden CNIL Isabelle Falque-Pierrotin mengatakan Selasa pada konferensi pers untuk mempresentasikan penelitian.

Daripada mempelajari aplikasi di laboratorium kondisi, CNIL mengambil pendekatan dunia nyata, meminta enam sukarelawan untuk memasang kartu SIM mereka sendiri di telepon dan menggunakannya seperti mereka sendiri antara pertengahan Oktober dan pertengahan Januari. Satu sukarelawan mengunduh hampir 100 aplikasi, dan satu menambahkan hanya lima untuk yang dipasang oleh Apple.

[Bacaan lebih lanjut: Ponsel Android terbaik untuk setiap anggaran.]

Satu dari 12 aplikasi mengakses buku alamat, dan hampir satu dari tiga informasi lokasi yang diakses. Rata-rata, para pengguna memiliki lokasi mereka dilacak 76 kali sehari selama penelitian. Foursquare dan aplikasi Peta Apple sendiri meminta informasi lokasi yang paling sering - mungkin dimengerti mengingat tujuan mereka-dengan aplikasi AroundMe dan Apple Camera dekat.

Nama iPhone diakses oleh satu aplikasi dalam enam, sesuatu yang ditemukan oleh para peneliti tidak dapat dijelaskan karena berfungsi. hampir tidak ada tujuan dan jauh dari pengidentifikasi unik, meskipun karena sering mengandung nama pengguna yang diberikan, itu bisa dianggap sebagai informasi pribadi yang dapat diidentifikasi.

Aplikasi Facebook tampaknya sedikit berupaya untuk mengakses informasi pribadi seperti itu - tetapi kemudian, kata para peneliti, itu tidak perlu, karena para penggunanya sudah mengatakannya begitu banyak.

Para peneliti di dua lembaga pemerintah Perancis, CNIL dan INRIA, ingin memberi pengguna kontrol tambahan iOS Apple atas cara aplikasi mengakses informasi pribadi mereka, yang memungkinkan mereka untuk tinjau dan ubah akses itu kapan saja.

Data yang diakses paling banyak dalam penelitian ini adalah Pengenal Perangkat Universal (UDID) iPhone, nomor seri permanen tly terkait dengan telepon tertentu. Hampir setengah aplikasi mengaksesnya, dan satu dari tiga dari mereka mengirimnya melalui Internet tanpa terenkripsi. Aplikasi dari satu surat kabar harian mengakses UDID 1.989 kali selama penelitian, mengirimkannya 614 kali kepada penerbitnya.

Juru bicara CNIL Stéphane Petitcolas menunjukkan bagaimana pengguna dapat memperoleh kembali kontrol dengan alat pengaturan baru untuk membatasi bagaimana aplikasi mengakses semua jenis pribadi informasi, sama seperti Apple memungkinkan pengguna untuk mengontrol akses ke informasi lokasi hari ini. Apple belum melihat alat itu, tetapi INRIA akan mempertimbangkan untuk membagikan kode itu jika perusahaan itu tertarik, kata Claude Castelluccia, direktur tim riset.

Para pembeli aplikasi iPhone tidak tahu apa informasi atau fungsi yang akan diakses aplikasi mereka. Google Play Store menunjukkan informasi dan fungsi apa yang akan diakses oleh aplikasi, tetapi pilihannya semua atau tidak sama sekali. Versi lama dari OS BlackBerry memberi pengguna lebih banyak kebebasan untuk memilih API (antarmuka pemrograman aplikasi) yang memungkinkan aplikasi untuk mengakses, dengan risiko melanggar aplikasi, tetapi di BlackBerry 10 bahwa kontrol granular hanya tersedia untuk aplikasi asli: Untuk Aplikasi Android pilihannya sekali lagi mengambil atau meninggalkannya.

Apple mengambil langkah-langkah kecil untuk memberi pengguna kontrol semacam itu. Di iOS 5 mereka dapat mencegah aplikasi individu mengakses lokasi mereka, dan di iOS 6 mereka akan memiliki opsi lain karena Apple berusaha menghentikan pengembang menggunakan UDID untuk mengidentifikasi pengguna dan menargetkan iklan.

Sebaliknya, Apple ingin pengembang menggunakan Pengenal Iklan yang diperkenalkan di iOS 6. Ini tidak secara permanen terkait dengan ponsel atau orang, dan pengguna yang tidak ingin dilacak dapat mengubahnya kapan pun mereka mau - selama mereka berpikir untuk lihat Pengaturan / Umum / Tentang / Iklan daripada Pengaturan / Privasi yang lebih jelas.

Pilihan itu tidak tersedia bagi peserta dalam studi CNIL-INRIA, meskipun, yang karena alasan teknis dilakukan menggunakan iOS 5. fase penelitian selanjutnya akan menggunakan iOS 6, sekarang setelah INRIA memperbarui aplikasi pemantauannya untuk menggunakan versi baru.

Untuk memantau bagaimana aplikasi mengakses informasi pribadi, INRIA harus melakukan jailbreak pada iPhone dan menginstal aplikasi khusus untuk mencegat Apple API melalui aplikasi mana yang meminta akses ke informasi pribadi, kata peneliti INRIA, Vincent Roca. Para peneliti memilih untuk bekerja di iPhone karena mereka sudah memiliki pengalaman mengembangkan untuk iOS. Mereka kini mengembangkan aplikasi dengan kemampuan serupa untuk ponsel Android, yang harus mereka rooting untuk memasangnya.

Aplikasi pemantauan INRIA merekam setiap permintaan yang disadap dalam database di ponsel, bersama dengan informasi pribadi yang diminta, sehingga itu bisa mengidentifikasi dalam lalu lintas jaringan keluar. Aplikasi iOS 5 hanya dapat memantau lalu lintas jaringan yang tidak terenkripsi, tetapi versi untuk iOS 6 sekarang dapat menghubungkan API jaringan sebelum lalu lintas dienkripsi, kata Roca.

Aplikasi ini juga meneruskan permintaan yang disadap ke server pusat untuk studi - tanpa informasi pribadi terkait, karena bahkan subjek eksperimental berhak atas privasi mereka, para peneliti menekankan.

INRIA dan CNIL baru saja mulai menganalisis data yang mereka kumpulkan dari enam iPhone: Ada 9 gigabyte, yang meliputi 7 juta privasi peristiwa selama periode tiga bulan.

Satu hal yang telah diketahui oleh studi ini adalah bahwa beberapa akses ke data pribadi tidak disengaja. Sebuah aplikasi untuk mengidentifikasi kolam renang Paris terdekat (kota ini memiliki 38 dalam radius sekitar 5 kilometer) mengakses informasi lokasi jauh lebih dari yang diperlukan untuk melakukan fungsinya, tampaknya karena kesalahan pemrograman, kata Petitcolas CNIL.