移动广告库为企业数据带来重大风险

每天在 Mojave Threat Labs,我们的研究团队都会使用超过 200 个个人风险因素来分析数以千计的移动应用程序。我们跟踪的关键风险因素之一是收集并发送到远程 Web API 的私人数据或个人身份信息(personally identifiable information,PII)。这可能包括用户姓名、电话号码、电子邮件地址、位置、已安装的应用程序、通话记录、联系人列表等。平均而言,企业员工和移动用户在其移动设备上拥有大约200个应用程序,包括所有预装的应用程序,如地址簿和相机。每个应用程序平均有 9 个在用户使用前就同意授予的权限 -- 例如访问你的地址簿,或者获取你的位置权限以便告诉你附近的内容。有这么多应用程序请求访问私人或敏感信息,用户甚至是 IT 管理者通常都很难去完全了解谁获取了数据、数据将被发往何方、数据将如何使用。

为什么你不该盲目信任移动广告库

影响公司员工和个人移动用户的一些最重要的风险因素,例如数据丢失和个人身份信息(PII)收集,不是由应用程序本身发生的,而是在移动广告库和其他库组件(如社交媒体或分析工具)中发生的。这些库是由第三方编写的大型代码包,开发者将这些代码包包含在他们的移动应用中以帮助他们添加标准功能。在这种情况下,开发人员可以使用这些库来收集广告收入、跟踪用户统计信息或与社交媒体 API 集成。移动应用程序开发者有上千个这样的库可供使用,每个库都有不同的声誉,开发人员通常在很少或没有审核的情况下包含他们的代码。虽然这些库中有许多都没有收集个人身份信息并且有合理的隐私政策,但并非所有库都如此有信誉,且对于大多数用户来说,无法知道特定应用中包含哪个广告库。遗憾的是,当你授权应用访问你的私人或敏感数据时,你同时也授予了每个包含的库及其作者相应的访问权限,无论你是否知道。

这就像把你的房门钥匙托付给你的少年们过周末一样,这只是让他们立即为朋友配几把备用钥匙,而这是你不知道的。这种间接性和缺乏透明性导致应用程序包含的子组件缺乏问责制,并使 IT 管理员无法做出充分明智的风险决策。

为了展示此类第三方库的流行程度,Mojave Threat Labs 分析了客户安装的应用程序连接的超过 1100 万个网址。然后,我们根据网址是否与广告网络、社交媒体和分析 API 相连接来进一步将网址分类。当我们分析了客户下载的所有应用时,我们发现:

  • 企业用户至少连接到与消费者用户一样多的数据收集库,在某些情况下更多,这使企业面临敏感数据丢失的风险;
  • 一些顶级广告库(如 AdMob,AirPush 和 Flurry)会泄露私人信息,例如你下载到手机上的移动应用,精确的地理位置数据(包括你的邮政编码),设备ID号,网页浏览历史记录等等。
  • 企业用户下载的应用程序中有65%连接到广告网络;
  • 企业用户下载的应用程序中有40%连接到社交网络 API;
  • 企业用户下载的所有应用程序中至少有78%连接到广告网络、社交媒体 API 或分析 API 中的一个。

毫不奇怪,两个类别中的顶级域名都属于顶级广告库(AdMob,Airpush,Flurry,MillenialMedia)以及社交媒体(Facebook,Twitter,LinkedIn,Google +)。排在前50位的是 DropBox 等数据共享API。

举个例子,这些库收集的数据类型,我们检查了数据库中的一个顶级网址 Airpush。暴露的数据类型包括:

  • Android ID
  • 广告商 ID
  • 设备品牌和型号
  • 移动网络浏览器类型和版本
  • IP 地址
  • Airpush 生成的ID
  • 应用程序名称
  • 设备上安装的移动应用程序列表(可选退出选项)
  • “其他技术数据你的设备“
  • 根据你的许可,Airpush可能会收集: 精确的地理位置浏览器历史记录(可选退出选项) 国家 / 地区 邮政编码 设备ID(包括 IMEI,设备序列号和 MAC 地址) 经过加密的电子邮件地址(可选退出选项)

最重要的是,你可能信任特定应用程序的作者,但你可能甚至不知道收集有关你最多信息的组件(库)的作者。几乎所有情况下,用户只需下载并安装包含该库的应用程序就受到了该库的数据策略所约束,连查看策略的详细信息都不用。

企业风险与消费者风险:企业谨防

虽然大多数应用程序连接到广告网络并不奇怪,但值得注意的是,企业用户安装的应用程序与个人(消费者)用户安装的应用程序之间的细分几乎相同。其他一些有趣的发现包括:

  • 企业用户安装的应用程序连接到社交媒体 API 的可能性至少高出 10%。
  • 企业用户(对比消费者)安装的应用程序可能包含将其暴露在个人身份信息、个人或公司数据丢失风险的库。

下表比较了业务用户设备(右)和消费者设备(左)上的应用程序的顶级网址。该表显示,当涉及到顶级广告库、社交媒体库或其他影响数据隐私的库时,企业用户和个人用户之间并没有巨大差别 -- 企业并不像他们想象的那么安全。

用户和 IT 管理员必须了解从他们的设备收集哪些数据、数据发往何处以及如何使用这些数据,这一点至关重要。鉴于所收集的大多数敏感数据都发生在这些第三方库(如广告网络,社交媒体 API 和分析工具)中,因此充分了解移动应用程序中包含的每个库非常重要。

由 Mojava Networks 的 Lead Threat 工程师 Ryan W Smith 撰写

本文的版权归 FesonX 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏微信小程序开发

小程序“功能直达”内测,你读懂了什么?

小程序“功能直达”功能正式开始内测。部分小程序已收到内测邀请。 ? 开启这个功能后用户可在“发现-小程序”中通过搜索找到小程序提供的功能。 小程序将获得更多用户...

586130
来自专栏哲学驱动设计

Rafy 领域实体框架 - 公司内部培训视频

本月给公司内部一个项目做架构重构,其中使用到了 Rafy 框架。所以我培训了 Rafy 领域实体框架的使用方法,过程中录制了视频,方便其他同事查看。现在把视频放...

21070
来自专栏张善友的专栏

MongoDB 如何使定制电子商务变得简单

开源电子商务软件市场已经历了众多发展阶段,您可能已经通过 osCommerce、Magento、Zen Cart、PrestaShop、Spree 等流行平台而...

24070
来自专栏云加头条

张青林:TXSQL是什么?云计算时代数据库核弹头

腾讯MySQL内核研发专家张青林在腾讯“云+未来”峰会的「开发者专场」做了主题为“TXSQL:云计算时代数据库核弹头”的技术内容分享,本次分享从五个方面介绍TX...

81520
来自专栏Java架构

Java分布式架构的演进过程

1946年,世界上第一台电子计算机在美国的宾夕法尼亚大学诞生,它的名字是:ENICAC ,这台计算机的体重比较大,计算速度也不快,但是而代表了计算机时代的到来,...

21760
来自专栏java技术学习之道

分布式架构的演进过程

14530
来自专栏重庆的技术分享区

微服务 - 从想法到迈出第一步

原文地址:https://codeburst.io/microservices-from-idea-to-starting-line-d6e8cd5e9bb4?...

16010
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–售前活动(920)-1业务概览

用途 This scenario describes the pre-sales business processes usingthe functions...

45160
来自专栏北京马哥教育

Python爱好者必看11个常用站点

学习一门编程语言,除了语法,最重要的是学习解决问题。很多时候单凭自己的能力确实无法做到完美解决,所以无论是搜索引擎、社区、文档还是博客,都是我们解决问题的利器。...

35840
来自专栏Laoqi's Linux运维专列

饿了么的架构设计及演进之路(转)

21360

扫码关注云+社区

领取腾讯云代金券