Blog

Bed i privatlivets fred: apps til muslimer, der respekterer dine personlige data

Comparitech-forskere har analyseret privatlivets fred og sikkerhed for 175 apps lavet til muslimer på Google Play, herunder bøn-apps, Koran-apps og dating-apps. Vi scannede hver app for detaljer om alle indsamlede følsomme oplysninger og en liste over de ønskede tilladelser, såsom brugerens placering og kontaktliste. Selvom vi ikke undersøgte, hvem brugerdata deles med, når de først er indsamlet, giver vores forskning et klart billede af, hvilke personlige oplysninger der er tilgængelige for app-udviklerne.



permissions-requested-by-muslim-apps-on-google-play Her er nogle højdepunkter af det, vi fandt:

  • 96 procent af apps anmoder om tilladelse til at bruge 'Enheds-id og opkaldsoplysninger'. Ifølge Google giver denne tilladelse appen adgang til dit enheds-id, opkaldsstatus, telefonnummer og telefonnummeret på den anden part i et opkald. Appen kan kort sagt se, hvem brugeren ringer til og hvornår.
  • Næsten 40 procent af apps til muslimer anmoder om adgang til enhedens placering. Placeringsdata kan bruges til at spore brugernes bevægelser.
  • 63 procent af apps anmoder om adgang til brugerens datalager, herunder billeder og medier.
  • 7 procent anmodede om adgang til brugernes kontaktlister. Dette giver udviklere mulighed for at indsamle og potentielt dele lister over brugerens personlige forbindelser.

Ikke alle disse tilladelser er ondsindede, men de er ofte unødvendige og rejser spørgsmål om, hvilke data der indsamles, og med hvem de deles. Man kan formode, hvordan myndigheder og andre grupper kunne bruge disse oplysninger til at spionere på opholdssted, forhold og personlige liv for de mennesker, der bruger disse apps.



Vice Bundkort rapporterede i november 2020, at Det amerikanske militær købte brugerdata fra Muslim Pro . Efter tilbageslag fra brugere sagde appen, at den ikke længere vil dele data med X-Mode, en datamægler, der blandt andet solgte brugerplaceringer til det amerikanske militær. Kontroversen omkring Muslim Pro er det, der i sidste ende ansporede Comparitech til at undersøge apps til muslimer.

Hvilke muslimske bønneapps beskytter dit privatliv?

Muslimske bønneapps hjælper almindeligvis brugere med at holde styr på bedetider, vide, hvilken retning de skal tage, når de beder, læse Koranen, lytte til recitationer og recitere bønner, blandt andre ressourcer. De fleste af disse apps er tilgængelige gratis på Google Play og iOS App Store, men app-udviklerne kunne tjene penge på appen ved at indsamle og sælge brugernes personlige data.



Vi valgte følgende apps ud fra følgende kriterier:

  • Der er anmodet om installationstids- og køretidstilladelser
  • Brug af tredjepartsannoncer
  • Sårbarheder og lækager
  • Fortrolighedspolitik

Desværre er det svært at finde en bøn-app, der ikke bruger din placering. Placeringsoplysninger bruges til at bestemme din tidszone for bønsplanlægning og hvilken retning dit Qibla (kompas) skal vende.

Med det forbehold fandt vi følgende muslimske bønapps med engelsk tekst, der respekterer dit privatliv:

Søjler

søjler

Søjler er en UK-baseret app, der i vid udstrækning er skabt som svar på privatlivsproblemer, som blev rejst af Muslim Pro-appen i 2020. Appen inkluderer blandt andet bønnotifikationer, en Qibla og en bønsporing. Det er annoncefrit og understreger privatlivets fred og anmoder kun om en håndfuld tilladelser:

  • Beliggenhed
  • Enheds- og apphistorik
  • Andet (kør ved opstart, netværksadgang, forhindre enheden i at sove, kontroller vibration)

Pillars' privatlivspolitik siger, at selvom appen bruger din placering og nogle personlige data, forlader disse oplysninger aldrig din telefon.

Appen havde ikke noget af det, vi anser for at være alvorlige lækager, ifølge vores tests.

Daglig islam

daglig islam

Daglig islam er en reklamefri app, der inkluderer en Koran, bønneur, Qibla og andet undervisningsmateriale. Den anmoder kun om tre tilladelser på Android:

  • Beliggenhed
  • Wi-fi forbindelse oplysninger
  • Andet (kør ved opstart, kontroller vibration, forhindre enheden i at sove)

Udvikleren har en kort, men klar privatlivspolitik. Vores værktøjer har kun markeret én tilladelse som alvorlig og ingen alvorlige lækager.

1 muslim

1 muslim

1 muslim er en reklamefri app, der anmoder om minimale tilladelser og har ingen større sikkerhedsproblemer ifølge vores test. Det inkluderer bønmeddelelser og en Qibla.

Appen anmoder om tilladelser til:

  • Beliggenhed
  • Opbevaring, herunder fotos og medier
  • Andet (kør ved opstart, forhindre enheden i at sove, indstil alarm osv.)

Vi opdagede én læk i appen, som er under gennemsnittet. Vores tests fandt en blotlagt almindelig tekstadgangskode til en lageradministrator.

Privatlivspolitikken er klar og kortfattet og nævner ikke deling af data med tredjeparter.

Deen islamisk app

deen islamisk

Deen islamisk app er en annoncefri app med Bangla og engelske versioner. Det inkluderer en bøntimer, Koranen med lydoversættelser, Qibla og andre nyttige funktioner. Den anmoder kun om følgende tilladelser:

  • Beliggenhed
  • Andet (kør ved opstart, kontroller vibration, forhindre enheden i at sove)

Privatlivspolitikken er meget kort, men udvikleren oplyser, at de beholder alle brugeroplysninger, uden at nævne at dele dem med tredjeparter.

Vores værktøjer markerede én alvorlig tilladelse og opdagede én læk: en blotlagt Google API-nøgle.

jeg beder

jeg beder

jeg beder er en reklamefri app, der inkluderer en bønneur og Qibla. Navnlig kan denne app bruges offline, hvilket virkelig er den eneste sikre måde at sikre, at en app ikke indsamler dine personlige data.

iPray anmoder om følgende tilladelser:

  • Beliggenhed
  • Opbevaring, herunder fotos og medier
  • Andet (skift lydindstillinger, kør ved opstart, kontroller vibrationer, forhindre enheden i at sove osv.)

Privatlivspolitikken er kort, men klar og siger, at appen ikke indsamler eller deler nogen personlige oplysninger. Det er dog lidt utæt; vores værktøjer fandt URL'en til appens Firebase-database, en Google API-nøgle og en generisk API-nøgle.

Koran-app, der respekterer dit privatliv: myQuran

myquran

Der er et væld af Koranlæsnings- og recitationsapps derude med forskellige sprog og recitere. Når det kommer til engelsksprogede muligheder, der beskytter dit privatliv, er vores favorit min Koran . Den omfatter oversættelser til flere sprog og en komplet liste over verdensberømte oplæsere.

Appen anmoder kun om meget minimale tilladelser i kategorien 'andet', inklusive netværksadgang og forhindrer enheden i at sove. Vores værktøjer markerede én alvorlig tilladelse (under gennemsnittet) og to lækager (ca. gennemsnittet). Lækagerne inkluderer en afsløret hemmelig Facebook-nøgle og en generisk API-nøgle.

Privatlivspolitikken siger klart, at brugerdata kun deles med tjenesteudbydere og ikke sælges for annonceindtægter.

Er Muslim Pro privat?

Vice Bundkort rapporterede i november 2020, at Det amerikanske militær købte brugerdata fra Muslim Pro . Efter tilbageslag fra brugere sagde appen, at den ikke længere vil dele data med X-Mode, en datamægler, der blandt andet solgte brugerplaceringer til det amerikanske militær. Kontroversen omkring Muslim Pro er det, der i sidste ende ansporede Comparitech til at undersøge apps til muslimer.

Selvom vores analyse ikke undersøger, hvem brugerdata deles med, kan vi se, at Muslim Pro stadig anmoder om følgende tilladelser:

  • Beliggenhed
  • Kamera
  • Opbevaring, herunder fotos og medier
  • Wi-fi forbindelse info
  • Andet

Ingen af ​​tilladelserne blev markeret som en sikkerhedstrussel, men vores værktøjer afslørede fire datalæk: en blotlagt almindelig tekstadgangskode, URL'en til en Firebase-database, en generisk API-nøgle og en Google API-nøgle.

Opdatering den 25. april 2022:Muslim Pro reagerede på Comparitechs resultater med følgende oplysninger:

  • Almindelig tekstadgangskode: Vi gemmer ingen adgangskoder på vores side lokalt, og vi bruger Firebase-godkendelse og bruger deres SDK til at lade brugere logge ind via e-mail/adgangskode eller ændre deres adgangskode.

  • Firebase-database-URL: Dette er afsløret ved design af Firebase. Der er ingen vej udenom, men dette er slet ikke et sikkerhedsproblem. Hvis nogen får adgang til det, vil de ikke være i stand til at gøre noget.

  • Google API-nøgle: Dette er den samme betingelse som Firebase-databasens URL.

  • Generisk API-nøgle: Dette kunne være en API-nøgle, der kommer fra 3. parts Ad SDK. I så fald er det ikke et problem. For Muslim Pros egne private API-nøgler holdes de altid krypteret og sikret ved hjælp af DexGuard – et industristandardværktøj til kryptering af apps.

  • Til sidst kører Muslim Pro et offentligt bug bounty program ved hjælp af en førende bug bounty platform kaldet YesWeHack . Hvis appen har nogle sårbarheder eller sikkerhedsproblemer, bliver disse markeret af sikkerhedsforskerne på platformen, og Muslim Pro griber hurtigt ind for at afbøde dem. I øjeblikket er der ingen sikkerhedsproblemer for appen i platformen.

Metode og begrænsninger

Vores analyse kontrollerede 175 apps' Android APK-filer for sårbare lækager og overdrevne tilladelser. Comparitech-forskere skabte brugerdefinerede scripts til at downloade og analysere hver installationsfil.

Nogle af de lækager, vi tjekkede for, inkluderede, men var ikke begrænset til:

  • AWS API-nøgler for at få adgang til S3-lagringsbøtter
  • Facebook-tokens for at få adgang til en persons profil og/eller apps
  • Firebase-tjek for fejlkonfigurerede databaser
  • Github-tokens for at få adgang til private depoter
  • Google API-tokens for at få adgang til betalte tjenester med en andens profil
  • PayPal for at få adgang til bankoplysninger
  • Twitter OAuth for at få adgang til en persons profil/applikation
  • Twilio for at få adgang til private konti
  • Slappe webhooks for at få adgang til private arbejdspladser
  • Heroku API for at få adgang til hostede projekter og ændre/slette dem

Vi valgte ikke at afsløre de specifikke lækager, som de angivne apps har lidt for ikke at tilskynde til angreb mod apps eller deres brugere.

Vi tog derefter et detaljeret kig på installationstids- og køretidstilladelser efterspurgt af hver app. For nemheds skyld henviser vi ofte til disse ved deres tilladelsesgruppe i artiklen. Nogle tilladelser er sikkerhedsrisici, der åbner brugerenheder for angreb (f.eks. køre shell-scripts, læse SMS), mens andre er rene privatlivsrisici (adgangsplacering, kontaktliste).

Apkleaks og Quark blev brugt til app-analyse.

Vi har undersøgt privatlivspolitikkerne for alle anbefalede apps for ethvert sprog eller mangel på samme, der kunne indikere indsamling og/eller deling af brugernes personlige data.

Er du en udvikler, der laver private apps til muslimer? Synes du, at din app skal inkluderes? Fortæl os det i kommentarerne eller kontakt forfatteren på Twitter: @pabischoff

^