Rumah Jam keamanan Apa yang dilakukan aplikasi pajak Anda dengan data Anda?

Apa yang dilakukan aplikasi pajak Anda dengan data Anda?

Video: Cara setting sertifikat elektronik pada aplikasi efaktur pajak (Desember 2024)

Video: Cara setting sertifikat elektronik pada aplikasi efaktur pajak (Desember 2024)
Anonim

Beberapa pajak dan aplikasi keuangan terkait untuk Android dan iOS mungkin tidak perlu mengumpulkan dan berbagi data pengguna. Apakah Anda memiliki aplikasi ini di perangkat seluler Anda?

Appthority menganalisis beberapa aplikasi manajemen keuangan pajak untuk perangkat Android dan iOS dan mengidentifikasi beberapa perilaku berisiko, termasuk melacak lokasi pengguna, mengakses daftar kontak, dan berbagi data pengguna dengan pihak ketiga, Domingo Guerra, presiden dan pendiri Appthority, mengatakan kepada SecurityWatch.

Banyak aplikasi mengirimkan data pengguna seperti lokasi, dan informasi kontak ditarik dari buku alamat ke jaringan iklan pihak ketiga, Appthority ditemukan. Sebagian besar komunikasi dengan jaringan iklan terjadi dalam teks yang jelas. Meskipun masuk akal bagi aplikasi H&R Block untuk memiliki akses ke lokasi pengguna, karena aplikasi ini memungkinkan pengguna menemukan etalase terdekat, "tidak terlalu jelas mengapa" aplikasi yang tersisa membutuhkan informasi itu.

"Sisanya hanya berbagi lokasi itu dengan jaringan iklan, " kata Guerra.

Daftar aplikasi termasuk "aplikasi pajak nama besar dan beberapa pendatang baru yang lebih kecil" seperti H&R Block TaxPrep 1040EZ dan aplikasi H&R Block lengkap, TaxCaster dan Pengembalian Pajak Saya dari Intuit (perusahaan di belakang TurboTax), Kalkulator Pajak Penghasilan 2012 dari pengembang bernama SydneyITGuy, dan Pajak Federal 1040EZ dari RazRon, kata Guerra. Appthority melakukan analisisnya menggunakan layanan manajemen risiko aplikasi seluler otomatisnya sendiri.

Lemah untuk Tidak Ada Enkripsi

Aplikasi umumnya memiliki enkripsi yang lemah dan memilih untuk secara selektif melindungi beberapa lalu lintas data, bukan mengenkripsi semua lalu lintas, Appthority menemukan. Beberapa aplikasi - Guerra tidak menentukan yang mana - menggunakan cipher enkripsi yang dapat diprediksi alih-alih memanfaatkan pengacak enkripsi. Aplikasi "tanpa nama", seperti yang dari RazRon, tidak menggunakan enkripsi sama sekali.

Salah satu aplikasi nama besar termasuk jalur file ke kode sumber dalam informasi debug di dalam executable. Filepath sering menyertakan nama pengguna dan informasi lain yang dapat digunakan untuk menargetkan pengembang aplikasi atau perusahaan, kata Appthority. Sekali lagi, Guerra tidak mengidentifikasi aplikasi dengan nama.

Meskipun "umumnya bukan risiko besar untuk membocorkan informasi ini, " "itu harus dihindari jika mungkin, " kata Guerra.

Mengungkap Data

Beberapa aplikasi menawarkan fitur di mana pengguna dapat mengambil gambar W2, dan gambar itu kemudian disimpan dalam "rol kamera" perangkat, "Appthority ditemukan. Ini bisa menjadi masalah serius bagi pengguna yang secara otomatis mengunggah atau menyinkronkan dengan layanan cloud seperti iCloud atau Google+ saat gambar itu disimpan ke lokasi yang tidak aman dan berpotensi terpapar.

Baik versi iOS dan Android dari aplikasi H&R Block 1040EZ menggunakan jaringan iklan seperti AdMob, JumpTab, dan TapJoyAds, tetapi versi lengkap dari aplikasi H&R Block tidak menampilkan iklan, Appthority mencatat.

iOS vs Android

Tidak ada banyak perbedaan dalam jenis perilaku berisiko antara versi iOS dan Android dari aplikasi yang sama, kata Guerra. Sebagian besar perbedaan bermuara pada bagaimana sistem operasi menangani izin. Android mengharuskan aplikasi untuk menampilkan semua izin sebelum pengguna dapat menginstal dan menjalankan aplikasi dalam pendekatan semua atau tidak sama sekali. Sebaliknya, iOS meminta izin saat situasinya muncul. Misalnya, aplikasi iOS tidak akan memiliki akses ke lokasi pengguna sampai pengguna mencoba menggunakan fitur locater store.

Di bawah aturan terbaru, iOS 6 melarang pengembang aplikasi melacak pengguna berdasarkan ID perangkat dan nomor UDID atau EMEI mereka. Praktek ini masih umum di antara aplikasi Android. Versi iOS dari aplikasi H&R Block 1040EZ tidak melacak pengguna, tetapi versi Android dari aplikasi yang sama melakukannya dengan mengumpulkan ID perangkat seluler, informasi platform build dan versi versi, dan ID pelanggan perangkat seluler, kata Guerra.

Aplikasi penuh H&R Blok pada permintaan Android dan dapat mengakses daftar semua aplikasi lain yang diinstal pada perangkat. Versi iOS aplikasi tidak memiliki akses ke informasi ini karena sistem operasi tidak mengizinkan ini.

Berisiko atau Tidak?

Tidak ada yang berisiko pada saat ini, aplikasi ini tidak mengirimkan kata sandi dan catatan keuangan dalam teks yang jelas. Namun, faktanya tetap bahwa aplikasi tidak perlu berbagi data pengguna. Dengan pengecualian satu aplikasi, tidak ada aplikasi lain yang menawarkan fitur pencari lokasi toko. Lalu, mengapa aplikasi lain ini membutuhkan akses ke lokasi pengguna? Mengapa aplikasi ini membutuhkan akses ke kontak pengguna? Tampaknya tidak perlu untuk menyiapkan pajak.

Appthority melihat beberapa aplikasi lama "untuk membuktikan suatu hal, " kata Geurra. Banyak dari aplikasi ini yang memiliki tanggal kedaluwarsa - seperti aplikasi pajak 2012 - di mana pengguna diharapkan tidak lagi menggunakannya setelah mereka selesai menggunakannya.

"Aplikasi sekali pakai" ini jarang ditarik dari pasar, dan pengguna harus menyadari bahwa aplikasi ini memiliki akses ke data pada perangkat pengguna.

Apa yang dilakukan aplikasi pajak Anda dengan data Anda?