Это вопрос, который исследователи Northeastern во главе с доцентом Дэвидом Чоффнесом задают в новом исследовании, посвященном сравнению бесплатных приложений и веб-сервисов на мобильных устройствах Android и iOS с точки зрения защиты конфиденциальности пользователей.В частности, команда исследовала степень, в которой каждая платформа передает личную информацию — от даты рождения и местоположения до паролей — рекламодателям и компаниям, занимающимся анализом данных, которые используют сервисы для финансирования своей деятельности.
Ответ? «Это зависит от обстоятельств», — говорит Чоффнес, эксперт по мобильным системам из Колледжа компьютерных и информационных наук. «Мы ожидали, что приложения будут пропускать больше идентификаторов, потому что приложения имеют более прямой доступ к этой информации. И в целом это правда. Но мы обнаружили, что обычно приложения утекают только на один идентификатор больше, чем веб-сайт той же службы. Фактически, мы обнаружили это в В 40 процентах случаев веб-сайты пропускают больше информации, чем приложения ».
Эти типы информации различаются в зависимости от платформы. Например, исследователи обнаружили, что веб-сайты чаще пропускают адреса и имена, в то время как только приложения обнаруживают утечку уникального идентификационного номера устройства.Исследователи представят свои выводы в докладе на конференции Internet Measurement Conference 2016 в Санта-Монике, штат Калифорния, в ноябре.
Цель команды — помочь пользователям принимать обоснованные решения о том, как лучше всего получить доступ к онлайн-сервисам. С этой целью они объединили свои выводы в простой в использовании интерактивный веб-сайт, который оценивает степень утечки 50 бесплатных онлайн-сервисов, от Airbnb до Zillow, в зависимости от предпочтений конфиденциальности каждого пользователя.Вот как это работает: пользователи выбирают из раскрывающегося списка 50 служб и отмечают, какая у них операционная система: Android или iOS. Затем их просят оценить различные типы личной информации, от даты их рождения до уникальных идентификаторов устройств, они больше всего заботятся о сохранении конфиденциальности.
Затем автоматически сайт генерирует два «индекса утечки» для выбранной службы — небесно-голубая полоса для версии приложения, желто-зеленая полоса для Интернета — и рекомендует, какая платформа лучше всего подходит для этого конкретного пользователя.«Нет однозначного ответа на вопрос, какая платформа лучше всего подходит для всех пользователей», — говорит Чоффнес. «Мы хотели, чтобы у людей была возможность провести собственное исследование и понять, как их личные предпочтения и приоритеты в отношении конфиденциальности влияют на их взаимодействие в сети».Призыв к действиюДля исследования исследователи выбрали 50 самых популярных бесплатных онлайн-сервисов в различных категориях, включая бизнес, развлечения, музыку, новости, покупки, путешествия и погоду.
Каждая служба должна предлагать одинаковые функции как на своем веб-сайте, так и в приложении. Чтобы убедиться, что они взаимодействуют с сервисами как обычные пользователи, исследователи провели ручные, а не автоматизированные тесты, лично входили в систему, вводили запрошенные пользовательские данные в текстовые поля и перемещались по среде.И приложения, и веб-сайты, как они обнаружили, в разной степени пропускали информацию о местонахождении, именах, поле, номерах телефонов и адресах электронной почты.
Но были сюрпризы. «Мы не ожидали обнаружить разнообразие информации, собранной на разных платформах даже для одного и того же сервиса», — говорит Чоффнес. Более того, четыре службы отправили зашифрованные пароли другой стороне: приложение Grubhub, непреднамеренно, из-за ошибки, которая была исправлена; приложение JetBlue для аутентификации; приложение и веб-сайт Food Network для управления идентификацией; и веб-сайт NCAA для управления идентификацией.«Причины преднамеренных утечек являются законными, и я уверен, что у служб есть соответствующие соглашения с другими сторонами для защиты паролей», — говорит Чоффнес. «Но практика по-прежнему поднимает важный вопрос: пользователи не подозревают, что их пароли пересылаются другой стороне».
Подумайте: клиенты JetBlue, бронирующие авиабилеты, вероятно, предполагают, что они отправляют свои пароли в JetBlue для аутентификации, тогда как на самом деле их учетные данные управляются третьей стороной, Useablenet.Чоффнес надеется, что результаты исследования положат начало диалогу между потребителями и онлайн-сервисами о типах информации, которую следует собирать, уравновешивая потребности в доходах сервисов с потребностями потребителей в конфиденциальности. «Моя цель — не просто рассказать людям страшную историю, но и призвать к действию», — говорит он. «Частью этого действия может быть то, что пользователи начнут запрашивать или даже требовать соображений конфиденциальности и прозрачности, которые они хотят от компаний, с которыми они взаимодействуют».