Det er en betydelig, potensiell risiko å benytte mange av dagens applikasjoner til smartmobiler og nettbrett. Det mener både internasjonale personvernmyndigheter og analyseselskapet Gartner.
Global Privacy Enforcement Network (GPEN), en organisasjon som har mange nasjonale datatilsyn som medlemmer, har studert personverninformasjonen i 1211 populære apper designet for både smartmobil og nettbrett med Android eller iOS. Undersøkelsen viser at 85 prosent av appene ikke tydelig forklarer hvordan de samler inn, bruker og avslører personlig informasjon. Mer enn 59 prosent av appene gjør det vanskelig eller umulig for brukerne å finne selv grunnleggende personverninformasjon.
Én av tre apper ser ut til å be om et overdrevent antall tillatelser, tilsynelatende for å få tilgang til mer personlig informasjon.
– Heldigvis var det få eksempler på apper som samler den typen informasjon utover det som ser ut til å være en del av funksjonaliteten deres – som en lommelyktapp som ber om tillatelse til å lese kontaktlisten din, sier Daniel Therrien, personvernkommissær i Canada, i en pressemelding.
– Men vi fant mange apper som ber om å få tilgang til potensielt sensitiv informasjon, slik som posisjonen din, eller tilgang til kamerafunksjonalitet, uten å forklare hvorfor. Dette ga mange av våre deltakere en ekte følelse av ubehag.
43 prosent av appene mislyktes i å tilpasse informasjonen om personvern til mobilskjermen. Enten var skriftstørrelsen altfor liten, eller så ble informasjonen gjemt i lange personvernpolicyer hvor brukerne må skrolle mye eller blant gjennom flere sider.
Sikkerhet
Gartner mener at i 2015 vil mer enn 75 prosent av mobilapplikasjonene mislykkes selv i helt grunnleggende sikkerhetstester. Ansatte i bedrifter laster selv ned applikasjoner som kan bli gitt tilgang til bedriftsdata eller til å utføre oppgaver relatert til virksomheten. Ifølge Gartner tilbyr disse applikasjonene få eller ingen forsikringer om sikkerhet. Derimot er de utsatt for angrep og overtredelser av sikkerhetspolicyene til bedrifter, skriver Gartner i en pressemelding.
– Bedrifter som omfavner mobil databehandling og BYOD-strategier (Bring Your Own Device) er sårbare for sikkerhetsbrudd med mindre de tar i bruk metoder og teknologier for mobil applikasjonstesting og risikobegrensning, sier Dionisio Zumerle, en analytiker ved Gartner.
– De fleste bedrifter har lite erfaring med mobil applikasjonssikkerhet. Selv når testing av applikasjonssikkerheten blir gjort, gjøres det ofte skjødesløst av utviklere som er mer opptatt av funksjonaliteten enn sikkerheten til applikasjonene.
I pressemeldingen nevner Gartner flere testmetoder og verktøy for dette som kan bidra til bedre sikkerhet, men at verktøyene for mobilapplikasjoner fortsatt er umodne.
– I dag bruker mer enn 90 prosent av bedriftene kommersielle tredjeparts-applikasjoner i deres mobile BYOD-strategier, og der er her man bør bruke mest innsats knyttet til testing av applikasjonssikkerhet i dag. App-butikker er fylt med applikasjoner som for det meste tilbyr den funksjonaliteten de lover. Likevel bør ikke virksomheter og enkeltpersoner bruke dem uten å være oppmerksom på sikkerheten deres. De bør bare laste ned og bruke de applikasjonene som har bestått sikkerhetstester utført av leverandører av spesialisert applikasjonssikkerhet, sier Zumerle.
Analyseselskapet mener at 75 prosent av sikkerhetsbruddene på mobilsiden i 2017 vil være et resultat av feilkonfigurering av mobilapplikasjoner. I mindre grad vil det skyldes avanserte, tekniske angrep mot mobilenhetene. Et typisk eksempel på feilkonfigurasjon er ifølge Gartner misbruk av personlige nettskytjenester gjennom applikasjoner som finnes på smartmobiler og nettbrett.
– Når disse brukes til å formidle virksomhetsdata, fører disse appene til datalekkasjer som organisasjonen i de fleste tilfeller vil være uvitende om.
Oppdatert klokken 09.09: La til intro som hadde falt ut.
Les også:
- [27.10.2014] Også norske mobilapper får kritikk