Technology

Aplikasi Android invasif dan tidak aman: belajar – Keamanan

Cara perilaku pengguna sidik jari aplikasi menimbulkan risiko lebih besar terhadap privasi pengguna daripada sidik jari browser, menurut peneliti dari Universitas Passau Jerman.

Dalam pracetak yang diterbitkan di arXiv, para peneliti mengklaim “sidik jari dalam aplikasi hibrida berpotensi berisi informasi khusus akun dan perangkat yang mengidentifikasi pengguna di beberapa perangkat secara unik”.

Sementara sidik jari browser sudah terkenal, ada sedikit penelitian tentang aplikasi hybrid – aplikasi smartphone yang menggabungkan komponen web seperti JavaScript dan komponen asli.

Dalam studi ini, para peneliti melihat aplikasi hybrid Android menggunakan WebView untuk menyediakan fungsionalitas browser.

Seperti yang dinyatakan oleh para peneliti: “WebView … menyediakan saluran komunikasi aktif antara komponen aplikasi Android asli dan JavaScript di browser”.

“JavaScript dapat mengakses fungsionalitas aplikasi Android melalui objek bersama,” kata mereka.

“Ini memberi komponen web kemampuan yang kuat untuk mengakses API Android asli tanpa harus meminta izin Android satu per satu.”

Untuk melihat kebocoran privasi apa yang mungkin terjadi, para peneliti menggabungkan lingkungan pengujian Android yang terkenal, Monkey, dengan WVProfiler, alat yang dikembangkan khusus untuk menganalisis aliran WebView.

Para peneliti mengevaluasi 20.000 aplikasi dari Play Store, mengidentifikasi lebih dari 5.000 yang menggunakan setidaknya satu contoh API WebView, 1000 di antaranya mereka pelajari secara mendalam.

Temuan pertama mereka adalah karena pengguna tidak dapat mengonfigurasi kebijakan privasi seluruh sistem di Android, browser internal yang digunakan oleh aplikasi hybrid “memungkinkan kebocoran informasi yang lebih sensitif daripada browser yang berdiri sendiri.

Minimal: “Semua aplikasi hybrid di dataset kami mengekspos nomor build dan model ponsel di sidik jari mereka.”

Kedua, aplikasi hybrid sering melanggar kebijakan privasi standar”, klaim studi tersebut.

“Aplikasi terkenal seperti Instagram memberikan sedikit atau tidak ada kontrol kepada penggunanya atas jumlah informasi sensitif yang dirilis melalui komponen web.”

Aplikasi Instagram, misalnya, mengumpulkan model ponsel, nomor build, info pelokalan, SDK, versi Android, dan prosesor.

Ketiga: perangkat sensitif dan informasi khusus pengguna dapat dikumpulkan dengan menggabungkan cookie dan informasi agen pengguna.

“Informasi ini dapat dimanfaatkan untuk membuat profil pengguna secara unik, seperti mengidentifikasi asal
dan memperkirakan status keuangan pribadi”, kata studi tersebut.

“Selain itu, beberapa aplikasi di kumpulan data kami melampirkan ID akun penggunanya (unik untuk pengguna) ke cookie yang membuat penggunanya diidentifikasi secara unik melalui perangkat yang berbeda.”

Keempat: “(Berpotensi) Komponen web yang tidak aman melanggar integritas objek aplikasi asli.”

Dan akhirnya, sementara sebagian besar web telah beralih ke HTTPS untuk melindungi informasi yang dikirimkan dalam URL, aplikasi hibrida belum mengejar: “32 persen aplikasi dalam kumpulan data kami membocorkan informasi sensitif melalui protokol komunikasi tidak terenkripsi seperti HTTP”.

“URL ini berisi data sensitif seperti ID perangkat, alamat IP, pengidentifikasi iklan,
informasi lokal, dan data sensitif lainnya,” kata para peneliti.

Studi ini ditulis oleh Abhishek Tiwari dan Jyoti Prakash, dengan rekan peneliti Alimerdan Rahimov dan Christian Hammer.

Posted By : pengeluaran hk hari ini 2021