Bezpieczeństwo aplikacji mobilnych. Analiza CERT NASK

23 lipca 2019, 12:37
1280x540 (17)
Fot. Ministerstwo Cyfryzacji

Zgodnie z zapowiedzią ministra cyfryzacji Marka Zagórskiego zespół CERT Polska działający z PIB NASK przeanalizował jedną z najpopularniejszych w ostatnim czasie aplikacji mobilnych do przerabianie zdjęć w celu sprawdzenie, czy umożliwia „kradzież” danych. 

Eksperci CERT Polska do swoich badań wykorzystali aplikację w wersji 3.4.9.1. Następnie uruchomili ją w specjalnie przygotowanym do tego środowisku. Podczas użytkowania monitorowali jej zachowanie oraz nagrywali generowany ruch sieciowy. 

W opisie swoich działań eksperci wyjaśniają jak chronić swoją prywatność oraz co się (nie) stanie, jeżeli zdecydujemy się na zainstalowanie kontrowersyjnej aplikacji. W swojej analizie specjaliści CERT Polska opisują m.in. serwery i usługi, do których kierowany jest wychodzący z aplikacji ruch sieciowy.

Żaden z przeanalizowanych strumieni danych nie wygenerował nieuzasadnionego ruchu sieciowego ani nie był wykorzystywany niezgodnie z przeznaczeniem. Ponadto, analiza potwierdziła, że aplikacja nie przesyła samowolnie lokalnych plików lub zdjęć z galerii. Do chmury trafiają wyłącznie zdjęcia, które zostały ręcznie wskazane przez użytkownika aplikacji - stwierdzili eksperci CERT Polska.

Znany jest również wyniki drugiej, zapowiedzianej przez ministra cyfryzacji, analizy. Przeprowadził ją Departament Zarządzania Danymi Ministerstwa Cyfryzacji. Jej celem było sprawdzenie aplikacji pod kątem ochrony prywatności użytkowników. Efektem tej analizy jest pismo ministra cyfryzacji do Prezesa Urzędu Ochrony Danych Osobowych.

W swoim wystąpieniu szef MC zwraca uwagę na m.in. konieczność zapewnienia przez tego typu aplikacje ich zgodności z przepisami RODO, które wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Źródło: Ministerstwo Cyfryzacji

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
Sceptyk
czwartek, 26 września 2019, 23:02

W aplikacjach mobilnych fajne jest to, ze po którejś tam kolejnej aktualizacji wszystkie te wyniki analizy bezpieczeństwa przestają być aktualne. Nawet bez aktualizacji można zdalnie uaktywnić funkcje aplikacji, które wcześniej nie były możliwe do wykrycia. Zwykły użytkownik w praktyce jest zupełnie bezbronny wobec ukrytych możliwości aplikacji mobilnych.