스마트폰 앱 7개 중 10개는 제XNUMX자 서비스와 데이터를 공유합니다

: By Narseo Vallina-Rodriguez, University of California, Berkeley 및 Srikanth Sundaresan, Princeton University

방문해 주셔서 감사합니다 InnerSelf.com, 있는 곳에 20,000+ "새로운 태도와 새로운 가능성"을 홍보하는 삶을 변화시키는 기사. 모든 기사는 다음으로 번역됩니다. 30 개 이상의 언어. 확인 매주 발행되는 InnerSelf Magazine과 Marie T Russell의 Daily Inspiration에 게재됩니다. InnerSelf 매거진 1985년부터 출판되었다.

7 Smartphone Apps에서 타사 서비스로 데이터 공유
스마트폰의 사진은 사용자가 인식하지 못하는 경우에도 위치 태그가 지정됩니다. 스마트폰 사용자는 개인 정보 설정을 조정하여 위치 태그가 지정된 위치를 볼 수 있는 사람을 제한할 수 있습니다. (사진 제공: 미 육군 그래픽)

우리의 휴대전화는 할 수 있습니다 우리 자신에 대해 많이 밝히다: 우리가 살고 일하는 곳; 우리의 가족, 친구 및 지인은 누구입니까? 우리가 그들과 어떻게(그리고 무엇을) 소통하는지; 그리고 우리의 개인적인 습관. 모든 정보가 저장되어 있으므로 모바일 장치 사용자가 다음과 같이 개인 정보를 보호하기 위한 조치를 취하는 것은 놀라운 일이 아닙니다. PIN 또는 암호 사용 전화 잠금을 해제합니다.

우리와 우리 동료들이 수행하고 있는 연구는 대부분의 사람들이 놓치고 있는 중요한 위협을 식별하고 탐구합니다. 70 퍼센트 이상 of 스마트폰 앱은 제XNUMX자 추적 회사에 개인 데이터를 보고하고 있습니다. Google Analytics, Facebook Graph API 또는 Crashlytics와 같은

사람들이 새로운 Android 또는 iOS 앱을 설치할 때 개인 정보에 액세스하기 전에 사용자의 권한을 요청합니다. 일반적으로 이것은 긍정적입니다. 그리고 이러한 앱이 수집하는 정보 중 일부는 제대로 작동하는 데 필요합니다. GPS 데이터를 사용하여 위치를 얻을 수 없다면 지도 앱은 그다지 유용하지 않을 것입니다.

그러나 일단 앱이 해당 정보를 수집할 수 있는 권한을 갖게 되면 앱 개발자가 원하는 모든 사람과 데이터를 공유할 수 있습니다. 제XNUMX자 회사는 사용자의 현재 위치, 이동 속도, 수행 중인 작업을 추적할 수 있습니다.

코드 라이브러리의 도움과 위험

앱은 휴대전화 자체에서 사용할 데이터만 수집하는 것이 아닙니다. 예를 들어 매핑 앱은 앱 개발자가 실행하는 서버로 사용자의 위치를 전송하여 현재 위치에서 원하는 목적지까지의 경로를 계산합니다.

앱은 다른 곳으로도 데이터를 보낼 수 있습니다. 웹사이트와 마찬가지로 많은 모바일 앱은 타사 라이브러리라고 하는 다른 개발자 및 회사에서 미리 코딩한 다양한 기능을 결합하여 작성됩니다. 이 라이브러리는 개발자를 돕습니다. 사용자 참여도 추적, 소셜 미디어와 연결 와 광고를 표시하여 돈을 벌다 및 기타 기능을 처음부터 작성하지 않고도 사용할 수 있습니다.

그러나 귀중한 도움 외에도 대부분의 도서관은 민감한 데이터를 수집하여 온라인 서버 또는 다른 회사에 보냅니다. 성공적인 도서관 저자는 사용자의 상세한 디지털 프로필을 개발할 수 있습니다. 예를 들어, 한 앱에 자신의 위치를 알 수 있는 권한을 부여하고 다른 앱에는 연락처에 대한 액세스 권한을 부여할 수 있습니다. 이들은 초기에 각 앱에 하나씩 별도의 권한입니다. 그러나 두 앱이 동일한 타사 라이브러리를 사용하고 서로 다른 정보를 공유하는 경우 라이브러리의 개발자는 해당 부분을 함께 연결할 수 있습니다.

앱은 사용자에게 사용하는 소프트웨어 라이브러리를 알려줄 필요가 없기 때문에 사용자는 절대 알 수 없습니다. 그리고 극소수의 앱만이 사용자 개인 정보 보호 정책을 공개합니다. 그렇다면 일반적으로 긴 법적 문서에 일반 사람이 있습니다. 읽지 않고 훨씬 덜 이해합니다.

루멘 개발

우리의 연구는 얼마나 많은 데이터가 사용자 모르게 잠재적으로 수집되고 있는지 밝히고 사용자가 자신의 데이터를 더 많이 제어할 수 있도록 하는 것입니다. 무엇을 찍으려면 사람들의 스마트폰에서 데이터가 수집되고 전송되고 있습니다., 우리는 무료 Android 앱을 개발했습니다. 루멘 프라이버시 모니터. 앱이 전송하는 트래픽을 분석하여 개인 데이터를 적극적으로 수집하는 애플리케이션과 온라인 서비스를 보고합니다.

Lumen은 투명성에 관한 것이기 때문에 전화 사용자는 설치된 앱이 실시간으로 수집하는 정보와 이러한 데이터를 공유하는 사람을 볼 수 있습니다. 우리는 이해하기 쉬운 방식으로 앱의 숨겨진 동작에 대한 세부 정보를 보여주려고 노력합니다. 연구에 관한 것이기도 하므로 Lumen이 앱이 수행하는 작업을 관찰하는 데 대한 일부 데이터를 수집하도록 허용할지 사용자에게 요청합니다. 그러나 여기에는 개인 정보 또는 개인 정보에 민감한 데이터가 포함되지 않습니다. 데이터에 대한 이 고유한 액세스를 통해 모바일 앱이 사용자의 개인 데이터를 수집하는 방법과 전례 없는 규모로 데이터를 공유하는 대상을 연구할 수 있습니다.

특히 Lumen은 사용자의 기기에서 어떤 앱이 실행되고 있는지, 개인 정보에 민감한 데이터를 휴대폰 외부로 전송하는지 여부, 데이터를 전송하는 인터넷 사이트, 사용하는 네트워크 프로토콜 및 각 앱의 개인 정보 유형을 추적합니다. 각 사이트로 보냅니다. Lumen은 기기에서 로컬로 앱 트래픽을 분석하고 이러한 데이터를 연구용으로 보내기 전에 익명화합니다. Google 지도가 사용자의 GPS 위치를 등록하고 해당 특정 주소를 maps.google.com으로 보내면 Lumen은 다음과 같이 알려줍니다. GPS 위치를 확인하고 maps.google.com으로 전송했습니다.” – 그 사람이 실제로 있는 곳이 아닙니다.

트래커는 어디에나 있습니다

1,600년 2015월부터 Lumen을 사용한 5,000명 이상의 사람들을 통해 598개 이상의 앱을 분석할 수 있었습니다. 우리는 Facebook과 같은 소셜 미디어 서비스, Google 및 Yahoo와 같은 대형 인터넷 회사, Verizon Wireless와 같은 인터넷 서비스 제공업체 산하의 온라인 마케팅 회사를 포함하여 광고 목적으로 사용자를 추적할 가능성이 있는 XNUMX개의 인터넷 사이트를 발견했습니다.

우리는 그것을 발견했다. 우리가 연구한 앱의 70% 이상이 최소 15개의 트래커에 연결되어 있으며 그 중 XNUMX%는 XNUMX개 이상의 트래커에 연결되어 있습니다. 추적기 XNUMX개 중 XNUMX개는 전화번호 또는 기기 고유의 15자리 IMEI 번호. 고유 식별자는 다양한 앱에서 제공하는 다양한 유형의 개인 데이터를 한 사람 또는 기기에 연결할 수 있기 때문에 온라인 추적 서비스에 매우 중요합니다. 개인 정보 보호에 정통한 사용자를 포함하여 대부분의 사용자는 이러한 숨겨진 관행을 인식하지 못합니다.

단순한 모바일 문제 그 이상

모바일 장치에서 사용자를 추적하는 것은 더 큰 문제의 일부일 뿐입니다. 우리가 확인한 앱 추적기의 절반 이상이 웹사이트를 통해 사용자를 추적하기도 합니다. "교차 장치" 추적이라고 하는 이 기술 덕분에 이러한 서비스는 온라인 페르소나에 대한 훨씬 더 완전한 프로필을 구축할 수 있습니다.

그리고 개별 추적 사이트가 반드시 다른 추적 사이트와 독립적인 것은 아닙니다. 그들 중 일부는 동일한 법인이 소유하고 있으며 나머지는 향후 합병으로 흡수될 수 있습니다. 예를 들어 Google의 모회사인 Alphabet은 Google Analytics, 더블 또는 AdMob을 통해 조사한 앱의 48% 이상에서 데이터를 수집합니다.

사용자의 온라인 신원은 해당 국가의 법률에 의해 보호되지 않습니다. 우리는 데이터가 국경을 넘어 운송되고 종종 의심스러운 개인 정보 보호법이 있는 국가로 가는 것을 발견했습니다. 추적 사이트 연결의 60% 이상이 미국, 영국, 프랑스, 싱가포르, 중국 및 한국의 서버에 이루어집니다. 대량 감시 기술. 해당 위치에 있는 정부 기관은 사용자가 다음 위치에 있더라도 잠재적으로 이러한 데이터에 액세스할 수 있습니다. 개인 정보 보호법이 더 강력한 국가 독일, 스위스 또는 스페인과 같은

Wigle을 사용하여 장치의 MAC 주소를 물리적 주소(ICSI에 속함)에 연결합니다. ICSI, CC의 BY-ND

더욱 불안하게도 어린이를 대상으로 하는 앱에서 추적기를 관찰했습니다. 연구실에서 111개의 어린이용 앱을 테스트한 결과, 그 중 11개가 고유 식별자인 MAC 주소, 연결된 Wi-Fi 라우터의. 쉽기 때문에 문제입니다. 온라인 검색 특정 MAC 주소와 관련된 물리적 위치. 위치, 계정 및 기타 고유 식별자를 포함하여 아동에 대한 개인 정보를 수집하는 것은 잠재적으로 연방 거래 위원회의 어린이의 개인 정보를 보호하는 규칙.

그냥 작은 모습

데이터에는 가장 인기 있는 Android 앱이 많이 포함되어 있지만 사용자 및 앱의 작은 샘플이므로 가능한 모든 추적기의 작은 집합일 수 있습니다. 우리의 발견은 규제 관할권, 장치 및 플랫폼에 걸쳐 훨씬 더 큰 문제가 될 가능성이 있는 것의 표면을 긁는 것일 수 있습니다.

사용자가 이것에 대해 무엇을 할 수 있는지 아는 것은 어렵습니다. 중요한 정보가 휴대전화에서 나가지 않도록 차단하면 앱 성능이나 사용자 경험이 저하될 수 있습니다. 광고를 로드할 수 없는 경우 앱이 작동을 거부할 수 있습니다. 사실, 광고를 차단하면 일반적으로 사용자에게 무료로 제공되는 앱 작업을 지원하기 위한 수익원을 거부함으로써 앱 개발자에게 피해를 줍니다.

사람들이 앱에 대해 개발자에게 더 기꺼이 돈을 지불한다면 도움이 될 수 있지만 완전한 솔루션은 아닙니다. 유료 앱은 더 적은 수의 추적 사이트에 연결하는 경향이 있지만 여전히 사용자를 추적하고 타사 추적 서비스에 연결합니다.

투명성, 교육 및 강력한 규제 프레임워크가 핵심입니다. 사용자는 자신에 대한 어떤 정보가 수집되고 누구에 의해 사용되는지 알아야 합니다. 그래야만 사회로서 어떤 개인 정보 보호가 적절한지 결정하고 적용할 수 있습니다. 우리의 발견과 다른 많은 연구자들의 발견은 판세를 뒤집고 추적기 자체를 추적하는 데 도움이 될 수 있습니다.

저자 정보

Narseo Vallina-Rodriguez, IMDEA Networks Institute 연구 조교수, 스페인 마드리드; 연구원, 네트워킹 및 보안, International Computer Science Institute 기반, 캘리포니아 대학, 버클리 Srikanth Sundaresan, 컴퓨터 과학 연구원, Princeton University

이 기사는 원래에 게시되었습니다. 대화. 읽기 원래 기사.