API, IAM, és ami mögötte van

Az bizonyára nem újdonság, hogy a mobil eszközök ezerféleképpen gyűjthetik adatainkat, ám azt már sokszor nehezebb meghatározni, hol húzódik pontosan a személyesség határa. Esetünkben azonban egyértelműen ez a helyzet áll fenn; egy friss tanulmány szerint egy API, pontosabban az Installed Application Methods (IAM) révén az androidos készülékekre telepített appok többsége egy mozdulattal lekéri a telepített egyéb appok listáját. A Google eredetileg a fejlesztői munka megkönnyítésére fejlesztette ki az IAM API-t, merthogy kellett egy eszköz, amin keresztül értesülhetnek róla, ha appjaik más alkalmazásokkal ütköznek, illetve az alkalmazások képesek-e szükség esetén interakcióba lépni egymással. A dolog szépséghibája ugyanakkor, hogy az API tökéletesen alkalmas az adott eszköz teljes alkalmazáslistájának feltérképezésére is. Bár ez egy teljes profil megalkotásához kevés, mégis sok információt közöl az adott felhasználó neméről, beszélt nyelvéről, koráról vagy vallási meggyőződéséről, ami mind-mind értékes morzsát szolgáltat a hirdetőknek.

A kutatás kiemeli, a legrosszabb mégis az, hogy a felhasználó ez ellen nem is tud védekezni, mert az API nem engedélyköteles.

Az "El a kezekkel az alkalmazásaimtól!" nevű tanulmány elkészítésénél a kutatók figyelembe vettek néhány korábbi, ugyancsak beszédes kutatási eredményt. Az egyikben például azt találták, hogy az eszközre telepített alkalmazások egyetlen pillanatképe lehetővé tette a kutatók számára, hogy körülbelül hetven százalék pontossággal megjósolják a felhasználó nemét. Míg egy másikban demográfiai adatokra, életkorra, sőt jövedelemre is következtethettek, mégpedig nyolcvankét százalékos pontossággal. Mindezek után a mostani, az olaszországi L’Aquila, az amszterdami Vrije és a zürichi ETH Egyetem munkatársainak gondozásában készült jelentés jogosan teszi fel a kérdést:

miért kezelik eltérően az IAM-et az engedélyköteles applikációktól még a GDPR-hoz hasonló, adatbiztonságot szolgáló intézkedések bevezetése ellenére is?

Lesz-e változás?

A tanulmány kitér a Google újsütetű, az Androiddal kapcsolatos változtatások terveire, amelyeket már hozzá is tettek a tizenegyes android verzió bétaverziójához (a hivatalos bevezetés időpontja az év utolsó negyedére tolódott, ám az nem egyértelmű, hogy ennek oka a járványhelyzet vagy valami más). A megfontolt változás értelmében ahhoz, hogy egy alkalmazás más alkalmazásokkal kölcsönhatásba léphessen, a fejlesztők előtt két lehetséges út áll; vagy előre beplántálnak egy fájlt az alkalmazásokba, amely automatikusan közli a számukra lényeges információkat, vagy kérniük kell egy új, QUERY_ALL_PACKAGES nevű engedélyt, amelynek pontos funkciója egyes fejlesztők számára még nem teljesen ismert.

A kutatók szerint a fenti intézkedések azonban még mindig nem foglalkoznak az IAM egyik fő hiányosságával, azaz a felhasználók figyelmen kívül hagyásával adataik lekérése során.

A tanulmány részletei

A kutatók tizennégyezer-háromszáznegyvenkét ingyenes Android applikációt vizsgáltak meg a Google Play Áruházban, valamint hétezer-nyolcszáznyolcvanhat nyílt forráskódú Android alkalmazást, majd elemezték azok IAM használatát. Azt találták, hogy négyezer-kétszáztizennégy app (valamivel több mint harminc százalék), IAM-okat használ. A nyílt forráskódú alkalmazások közül csak kétszázhuszonnyolc, vagyis valamivel kevesebb, mint három százalék gyűjtött részleteket más alkalmazásokról. Mivel a Google által üzemeltetett szolgáltatásban több mint hárommillió applikáció elérhető, a 'kíváncsiskodó' alkalmazások tényleges száma szinte minden bizonnyal nagyságrenddel nagyobb, mint a tanulmányban talált négyezer-kétszáztizennégy. (Az appok neveit nem hozták nyilvánosságra.) Az adatgyűjtő Google Play alkalmazások túlnyomó többsége - nyolcvannégy százaléka - harmadik féltől származó kódkönyvtárakkal szerez információkat. A kutatók ötvenhat különböző hirdetési könyvtárat azonosítottak, és megállapították, hogy ez a szám több mint egyharmada az összes IAM-et használó appoknak.

„Az eredmények megbeszélése során feltételeztük, hogy a reklámkönyvtárak által végrehajtott IAM-hívások túlnyomó része profilozási célokat szolgál, ezért ennek megfelelően javasoltunk néhány lehetséges változtatást az Android platformon” - írják a kutatók.

Ajánlásaik között szerepelt a felhasználók értesítése arról, hogy egy alkalmazás engedélyt kér más telepített alkalmazásokhoz. Más engedélykérelmekhez hasonlóan ugyanis ez is lehetővé teszi a felhasználók számára a visszautasítást. Hozzátették: szerintük az Apple iOS-ja az IAM-okhoz hasonló módszereket használ más telepített alkalmazások nyomon követésére. Összességében a mostani kutatás megerősíti az IT szakértők tanácsát, miszerint körültekintően telepítsünk alkalmazásokat eszközünkre, valamint érdemes előnyben részesíteni a díjalapú alkalmazásokat az ingyenes verziókkal szemben, mivel ez utóbbi kategória valószínűleg inkább a bevételre vonatkozó hirdetésektől függ. A nyílt forráskódú alkalmazások szintén azt mutatják, hogy kevesebb alkalmazás-adatot gyűjtenek, de megkövetelik a felhasználóktól, hogy engedélyezze a telepítést harmadik féltől származó piacokon.

(Fotó: Pixabay, Getty Images Hungary)