Блог

Молете се насаме: приложения за мюсюлмани, които зачитат вашите лични данни

Изследователите на Comparitech анализираха поверителността и сигурността на 175 приложения, създадени за мюсюлмани в Google Play, включително приложения за молитви, приложения за Коран и приложения за запознанства. Сканирахме всяко приложение за подробности относно всяка събрана чувствителна информация и списък с исканите разрешения, като местоположението на потребителя и списък с контакти. Въпреки че не проучихме с кого се споделят потребителски данни, след като бъдат събрани, нашето изследване дава ясна представа за това каква лична информация е достъпна за разработчиците на приложения.



permissions-requested-by-muslim-apps-on-google-play Ето някои акценти от това, което открихме:

  • 96 процента от приложенията искат разрешение да използват „Идентификация на устройството и информация за обаждане“. Според Google това разрешение позволява на приложението да има достъп до идентификационния номер на вашето устройство, състоянието на обаждането, телефонния номер и телефонния номер на другата страна в разговора. Накратко, приложението може да види на кого се обажда потребителят и кога.
  • Близо 40 процента от приложенията за мюсюлмани изискват достъп до местоположението на устройството. Данните за местоположението могат да се използват за проследяване на движенията на потребителите.
  • 63 процента от приложенията искат достъп до хранилището на данни на потребителя, включително снимки и медии.
  • 7 процента са поискали достъп до списъците с контакти на потребителите. Това позволява на разработчиците да събират и потенциално да споделят списъци с личните връзки на потребителя.

Не всички от тези разрешения са злонамерени, но често са ненужни и повдигат въпроси какви данни се събират и с кого се споделят. Човек може да предположи как властите и други групи могат да използват тази информация, за да шпионират местонахождението, връзките и личния живот на хората, използващи тези приложения.



Vice Motherboard през ноември 2020 г. съобщи, че Американските военни купуваха потребителски данни от Muslim Pro . След реакцията на потребителите, приложението заяви, че повече няма да споделя данни с X-Mode, брокер на данни, който продава потребителски местоположения, наред с други данни, на американската армия. Противоречието около Muslim Pro е това, което в крайна сметка подтикна Comparitech да проучи приложения за мюсюлмани.

Кои мюсюлмански молитвени приложения защитават вашата поверителност?

Приложенията за мюсюлманска молитва обикновено помагат на потребителите да следят времето за молитва, да знаят в коя посока да обърнат, когато се молят, да четат Корана, да слушат рецитации и да рецитират молитви, наред с други ресурси. Повечето от тези приложения са достъпни безплатно в Google Play и iOS App Store, но разработчиците на приложения може да монетизират приложението, като събират и продават лични данни на потребителите.



Избрахме следните приложения въз основа на следните критерии:

  • Искани са разрешения за време на инсталиране и време за изпълнение
  • Използване на реклами на трети страни
  • Уязвимости и течове
  • Политика за поверителност

За съжаление е трудно да се намери приложение за молитва, което да не използва вашето местоположение. Информацията за местоположението се използва за определяне на вашата часова зона за насрочване на молитва и в коя посока трябва да бъде обърната вашата Qibla (компас).

С това предупреждение открихме следните приложения за мюсюлманска молитва с английски текст, които зачитат вашата поверителност:

Стълбове

стълбове

Стълбове е базирано в Обединеното кралство приложение, създадено до голяма степен в отговор на опасения за поверителността, повдигнати от приложението Muslim Pro през 2020 г. Приложението включва известия за молитви, Qibla и инструмент за проследяване на молитви, наред с други инструменти. Той е без реклами и подчертава поверителността, като изисква само няколко разрешения:

  • Местоположение
  • История на устройството и приложението
  • Друго (стартиране при стартиране, достъп до мрежата, предотвратяване на заспиване на устройството, контрол на вибрациите)

Политиката за поверителност на Pillars гласи, че въпреки че приложението използва вашето местоположение и някои лични данни, тази информация никога не напуска телефона ви.

Приложението не е имало нито едно от това, което смятаме за сериозни течове, според нашите тестове.

Ежедневен ислям

ежедневен ислям

Ежедневен ислям е приложение без реклами, което включва Коран, таймер за молитва, Qibla и други образователни материали. Той изисква само три разрешения на Android:

  • Местоположение
  • Информация за Wi-Fi връзка
  • Друго (работи при стартиране, контролира вибрациите, предотвратява заспиването на устройството)

Разработчикът има кратка, но ясна политика за поверителност. Нашите инструменти маркираха само едно разрешение като сериозно и без сериозни течове.

1 мюсюлманин

1 мюсюлманин

1 мюсюлманин е приложение без реклами, което изисква минимални разрешения и няма сериозни проблеми със сигурността, според нашите тестове. Включва молитвени известия и Qibla.

Приложението иска разрешения за:

  • Местоположение
  • Съхранение, включително снимки и медии
  • Друго (стартиране при стартиране, предотвратяване на заспиване на устройството, задаване на аларма и т.н.)

Открихме едно изтичане в рамките на приложението, което е под средното ниво. Нашите тестове откриха разкрита парола в обикновен текст за мениджър на хранилище.

Политиката за поверителност е ясна и кратка и не споменава споделяне на данни с трети страни.

Deen Islamic App

дийн ислямски

Deen Islamic App е приложение без реклами с версии на Bangla и английски. Той включва таймер за молитва, Коран с аудио преводи, Qibla и други полезни функции. Той изисква само следните разрешения:

  • Местоположение
  • Друго (работи при стартиране, контролира вибрациите, предотвратява заспиването на устройството)

Политиката за поверителност е много кратка, но разработчикът заявява, че запазва цялата потребителска информация, без да споменава споделянето й с трети страни.

Нашите инструменти маркираха едно сериозно разрешение и откриха едно изтичане: разкрит ключ на Google API.

Моля се

Моля се

Моля се е приложение без реклами, което включва таймер за молитва и Qibla. Трябва да се отбележи, че това приложение може да се използва офлайн, което наистина е единственият сигурен начин да се уверите, че приложението не събира вашите лични данни.

iPray изисква следните разрешения:

  • Местоположение
  • Съхранение, включително снимки и медии
  • Други (промяна на аудио настройките, стартиране при стартиране, контрол на вибрациите, предотвратяване на заспиване на устройството и т.н.)

Политиката за поверителност е кратка, но ясна, като се посочва, че приложението не събира и не споделя лична информация. Въпреки това, той е малко пропусклив; нашите инструменти откриха URL адреса на базата данни Firebase на приложението, ключ за API на Google и общ ключ за API.

Приложение за Коран, което зачита вашата поверителност: myQuran

микоран

Има много приложения за четене и рецитиране на Коран с различни езици и рецитатори. Когато става въпрос за опции на английски език, които защитават вашата поверителност, нашият фаворит е моят Коран . Включва преводи на няколко езика и пълен списък от световноизвестни рецитатори.

Приложението изисква само много минимални разрешения в категорията „други“, включително достъп до мрежата и предотвратяване на заспиване на устройството. Нашите инструменти маркираха едно сериозно разрешение (под средното) и две течове (около средно). Течовете включват разкрит таен ключ на Facebook и общ API ключ.

Политиката за поверителност ясно посочва, че потребителските данни се споделят само с доставчици на услуги и не се продават за приходи от реклами.

Muslim Pro частен ли е?

Vice Motherboard през ноември 2020 г. съобщи, че Американските военни купуваха потребителски данни от Muslim Pro . След реакцията на потребителите, приложението заяви, че повече няма да споделя данни с X-Mode, брокер на данни, който продава потребителски местоположения, наред с други данни, на американската армия. Противоречието около Muslim Pro е това, което в крайна сметка подтикна Comparitech да проучи приложения за мюсюлмани.

Въпреки че нашият анализ не изследва с кого се споделят потребителски данни, можем да видим, че Muslim Pro все още изисква следните разрешения:

  • Местоположение
  • Камера
  • Съхранение, включително снимки и медии
  • Информация за Wi-Fi връзка
  • други

Нито едно от разрешенията не беше маркирано като заплаха за сигурността, но нашите инструменти разкриха четири изтичания на данни: разкрита парола с обикновен текст, URL адрес на база данни на Firebase, общ API ключ и ключ на Google API.

Актуализация на 25 април 2022 г.:Muslim Pro отговори на констатациите на Comparitech със следната информация:

  • Парола с обикновен текст: Ние не съхраняваме никакви пароли от наша страна локално и използваме Firebase Authentication и използваме техния SDK, за да позволим на потребителите да влизат чрез имейл/парола или да променят паролата си.

  • URL адрес на базата данни на Firebase: Това е изложено по проект на Firebase. Няма начин да го заобиколите, но това изобщо не е проблем със сигурността. Ако някой получи достъп до него, няма да може да направи нищо.

  • Google API Key: Това е същото условие като URL адреса на базата данни на Firebase.

  • Generic API Key: Това може да е API ключ, идващ от рекламен SDK на трета страна. В такъв случай това не е проблем. За частните API ключове на Muslim Pro те винаги се съхраняват криптирани и защитени с помощта DexGuard – индустриален стандартен инструмент за криптиране на приложения.

  • И накрая, Muslim Pro изпълнява публична програма за награди за грешки, използвайки водеща платформа за награди за грешки, наречена YesWeHack . Ако приложението има някаква уязвимост или проблем със сигурността, те се маркират от изследователите по сигурността на платформата и Muslim Pro предприема бързи действия незабавно, за да ги смекчи. В момента няма опасения за сигурността на приложението в платформата.

Методология и ограничения

Нашият анализ провери APK файла на 175 приложения за Android за уязвими течове и прекомерни разрешения. Изследователите на Comparitech създадоха персонализирани скриптове за изтегляне и анализ на всеки инсталационен файл.

Някои от течовете, които проверихме, включват, но не се ограничават до:

  • AWS API ключове за достъп до S3 контейнери за съхранение
  • Facebook токени за достъп до нечий профил и/или приложения
  • Проверка на Firebase за неправилно конфигурирани бази данни
  • Github токени за достъп до частни хранилища
  • Google API токени за достъп до платени услуги с нечий друг профил
  • PayPal за достъп до банкова информация
  • Twitter OAuth за достъп до нечий профил/приложение
  • Twilio за достъп до лични акаунти
  • Slack webhooks за достъп до частни работни пространства
  • API на Heroku за достъп до хоствани проекти и тяхното модифициране/изтриване

Избрахме да не разкриваме конкретните течове, понесени от изброените приложения, за да не насърчаваме атаки срещу приложенията или техните потребители.

След това разгледахме подробно разрешения за време на инсталиране и време за изпълнение изисквани от всяко приложение. За простота, ние често ги наричаме с техните група разрешения в статията. Някои разрешения са рискове за сигурността, които отварят потребителските устройства за атака (напр. изпълнение на скриптове на обвивката, четене на SMS), докато други са чисто рискове за поверителността (местоположение за достъп, списък с контакти).

Apkleaks и Кварк бяха използвани за анализ на приложения.

Проверихме политиките за поверителност на всички препоръчани приложения за всеки език или липса на такъв, които биха могли да показват събиране и/или споделяне на лични данни на потребителите.

Вие сте разработчик, създаващ частни приложения за мюсюлмани? Смятате ли, че вашето приложение трябва да бъде включено? Кажете ни в коментарите или се свържете с автора в Twitter: @pabischoff

^