Audit aplikácií

Posted on by P. Varga
Audit aplikácií

Prečo robiť audit aplikácií každé tri mesiace

Ekosystém mobilných a desktopových aplikácií je dynamický: meniace sa oprávnenia, nové SDK, pridané trackery, prechody vlastníctva a opustené projekty. Štvrťročný audit je rytmus, ktorý zachytí drift: odstráni prebytočné apky, zníži útokový povrch, uvoľní zdroje a zlepší súkromie. Tri mesiace sú dosť dlhé na to, aby sa ukázalo reálne používanie, a dosť krátke na to, aby sa riziká nestihli nabaľovať.

Model rizík: čo vlastne auditujeme

  • Súkromie: rozsah zbieraných údajov, počet trackerov, cezhraničné prenosy, profilovanie a zdieľanie s tretími stranami.
  • Bezpečnosť: známe zraniteľnosti, neudržiavané knižnice, slabé šifrovanie, rizikové oprávnenia a povolené URI schémy.
  • Reputácia a vlastníctvo: zmena developera, akvizície, sporné monetizačné modely.
  • Prevádzka: spotreba batérie, dát a úložiska, štart so systémom, background služby, prístupnosť nad ostatnými appkami.
  • Kompliance a governance: licencia, export dát, možnosť deaktivácie účtu, právo na výmaz.

Štvrťročný postup v 7 krokoch

  1. Inventarizácia: Vyexportujte zoznam aplikácií (Android: „Aplikácie“, iOS: „Úložisko iPhone“, Windows/macOS: správca balíkov alebo auditný nástroj). Poznačte veľkosť, posledné použitie a verziu.
  2. Kategorizácia: Rozdeľte do štyroch košov: Kritické (2FA, banky), Dôležité (práca, komunikácia), Užitočné (občasné použitie), Nadbytočné/Neznáme.
  3. Kontrola oprávnení a aktivít na pozadí: Skúmajte prístupy k polohe, kontaktom, fotkám, mikrofónu, kamere, Bluetooth, notifikáciám, a možnosti spúšťania na pozadí.
  4. Hodnotenie súkromia: Zamerajte sa na počet trackerov, prítomnosť reklamných SDK, agresívne telemetrie a možnosť ich vypnúť.
  5. Rozhodnutie ponechať/odstrániť/izolovať: Podľa matice v ďalšej sekcii.
  6. Deaktivácie a výmaz účtov: Pred odinštalovaním zrušte účet, odhláste predplatné a požiadajte o výmaz dát, ak je to vhodné.
  7. Hardening a dokumentácia: Po audite upravte oprávnenia, nastavte firewall/VPN pravidlá a zapíšte zmeny do poznámok (čo, prečo, kedy).

Rozhodovacia matica: ponechať, sandboxovať alebo odinštalovať

Kategória appky Správanie a riziká Akcia Doplnkové opatrenia
Kritické (2FA, bankovníctvo) Minimálne oprávnenia, citlivé dáta Ponechať Záloha seed/recovery, biometria, blok screenshotov, E2E zálohy off-cloud
Komunikácia a práca Šifrovanie, metadáta, cloud sync Ponechať / Sandboxovať Obmedziť prístup k fotkám/mikrofónu „len pri používaní“, vypnúť nešifrované zálohy
Média a sociálne siete Trackery, reklamy, rozsiahle oprávnenia Sandboxovať / Odinštalovať Notifikačný pôst, alternatívne klienty, web PWA verzia v prehliadači
Nákupy a doprava Platby, poloha, prístup k súborom Sandboxovať Jednorazové povolenia polohy, virtuálne karty, wallet namiesto natívnej appky
Hry a zábava Reklamné SDK, notifikácie, veľké dáta Odinštalovať ak nepoužívané > 60 dní Ukladať progres do cloud účtu, po hraní vymazať cache
Jednorazové a sezónne Eventy, cestovanie, festivaly Odinštalovať po skončení použitia Pred odinštalovaním zrušiť účet a odvolať súhlasy

Oprávnenia: ako ich čítať a kedy zbystriť

  • Poloha: preferovať „iba počas používania“, zakázať presnú polohu, ak stačí približná; vypnúť prístup na pozadí bez jasného dôvodu.
  • Fotky a súbory: používať selektívny prístup (vybrať konkrétne fotky), zabrániť plošnému čítaniu úložiska.
  • Kontakty, kalendár: udeliť len appkám, kde je to jadro funkcie; inak odmietnuť a sledovať, či fungujú ďalej.
  • Mikrofón/kamera: „spýtaj sa zakaždým“ pre všetko okrem videohovorov.
  • Notifikácie: vypnúť defaultne, zapnúť iba pre dôležité appky.

Android vs. iOS: kde čo nájdete

  • Android: Nastavenia > Ochrana súkromia (história oprávnení), Batéria > Optimalizácia (zakázať autostart), Sieť (obmedziť dáta na pozadí), Digitálna rovnováha (používanie appiek).
  • iOS: Nastavenia > Súkromie a bezpečnosť (oprávnenia), Úložisko iPhone (veľkosť), Batéria (aktivita), Obnovenie IDFA (tracking), Správy o súkromí aplikácií (dostupné v niektorých verziách).

Trackery a telemetria: čo je ešte primerané

  • Funkčná analytika (bez identifikácie) je znesiteľná, no má mať vypínač.
  • Reklamné SDK v nástrojoch mimo zábavy sú červená vlajka.
  • Fingerprinting a profilovanie bez súhlasu sú dôvodom hľadať alternatívu.

Alternatívy s nižším zásahom

  • Web/PWA namiesto natívu: používa menej oprávnení, ľahšie sa „vypína“ (zmazaním cookies/cache).
  • Open-source klienti: transparentný kód, menej trackerov, častejšie granulárne nastavenia.
  • Jedna appka – viac účelov: multiprotokolové messengery, password manager s 2FA tokenmi (s rozvahou).

Pred odinštalovaním: checklist „čistého odchodu“

  1. V Nastaveniach účtu vyžiadajte výmaz účtu (ak je k dispozícii).
  2. Odvolajte súhlasy s marketingom a zdieľaním údajov.
  3. Zrušte predplatné (App Store/Google Play/Stripe), inak zostanú aktívne.
  4. Exportujte svoju históriu/poznámky/projekty do otvoreného formátu.
  5. Odpojte prepojené účty (Google, Apple, Facebook login) a zrušte OAuth prístupy.
  6. Vymažte cache a lokálne dáta (ak OS nevymaže sám).

Po audite: hardening toho, čo zostalo

  • Revidujte autostart a beh na pozadí; vypnite pre všetko, čo nepotrebuje realtime.
  • Nastavte time-boxed povolenia (napr. poloha len na 15 min).
  • Obmedzte notifikácie na kritické; ostatné skombinujte do denných zhrnutí.
  • Zapnite lock screen ochranu pre citlivé appky (biometria/šifrovaný trezor).
  • Prehliadač: izolujte profily (práca/osobné/banking), vyčistite rozšírenia.

Špeciálne kategórie: keď je „ponechať“ takmer povinné

  • 2FA/Passkeys: kľúčová infraštruktúra identity; majte zálohu a export.
  • Banky a peňaženky: appku ponechať, no minimalizovať oprávnenia a zakázať screen-scraping.
  • VPN a firemné nástroje: ponechať, ale pravidelne kontrolovať certifikáty a tunely.
  • Zdravie a denníky: ponechať iba dôveryhodné, bez agresívneho zdieľania do cloudu.

Firemný vs. osobný audit

  • Osobné zariadenia: dôraz na minimalizáciu trackerov a komfort.
  • Firemné zariadenia: MDM, allowlist/denylist, zásady pre dáta (DLP), auditné logy a povinné verzie.

Mini-návod pre power-userov

  • Android: Monitorujte sieťové požiadavky (lokálny proxy), vyhodnoťte wakelocks a jobscheduler aktivity.
  • iOS: Sledujte Privacy Nutrition Labels, stav Background App Refresh, a Focus profily pre notifikácie.
  • Desktop: Použite správcu balíkov (winget/brew/choco) na „diff“ medzi štvrťrokmi; kontrolujte LaunchAgents/Startup.

KPI a metriky úspechu

  • Počet odinštalovaných appiek a ušetrené MB/GB úložiska.
  • Zníženie počtu oprávnení (kamera/mikrofón/poloha) naprieč zariadením.
  • Pokles spotreby batérie na pozadí (top 5 appiek pred/po).
  • Pokles notifikácií/deň a skrátenie času pred obrazovkou.

Frekvencia a pripomienky

Držte sa cyklu raz za štvrťrok (napr. prvý víkend v januári, apríli, júli a októbri). Poznačte si do kalendára a pripravte si „auditný“ checklist, aby ste proces skrátili na 30–45 minút.

Najčastejšie omyly a ako sa im vyhnúť

  • „Nepoužívam = neškodí“: appka s autostartom a trackermi škodí aj bez aktívneho používania.
  • „Všetko zmazať naraz“: riskujete stratu prístupu (2FA). Postupujte iteratívne a s checklistom odchodu.
  • „Len oprávnenia stačia“: niekedy je lepšie appku nahradiť webom alebo úplne odstrániť.

Rýchly 20-bodový checklist auditu

  1. Export zoznamu appiek a veľkostí.
  2. Označiť appky nepoužité > 60 dní.
  3. Skontrolovať oprávnenia (poloha/fotky/mikrofón/kamera).
  4. Vypnúť notifikácie pre nekritické appky.
  5. Zakázať autostart/refresh na pozadí.
  6. Skontrolovať spotrebu batérie/dát.
  7. Presunúť sociálne siete do webu/PWA.
  8. Auditujte rozšírenia prehliadača.
  9. Odstrániť duplikátne appky (viacero skenerov PDF, prekladačov…).
  10. Preveriť 2FA a export recovery kódov.
  11. Prejsť „účty pripojené“ (Google/Apple/Facebook sign-in) a zrušiť tokeny.
  12. Odvolať marketingové súhlasy.
  13. Skontrolovať predplatné a zrušiť nepotrebné.
  14. Vykonať „čistý odchod“ pre odstraňované appky.
  15. Vyčistiť cache a dočasné súbory.
  16. Prepnúť citlivé appky na biometrický zámok.
  17. Nastaviť profilované Focus/Do Not Disturb.
  18. Zálohovať dôležité dáta po úpravách.
  19. Zaznamenať zmeny (čo/prehľad dôvodov).
  20. Nastaviť pripomienku na ďalší štvrťrok.

Zhrnutie

Štvrťročný audit aplikácií je jednoduchý rituál s vysokou návratnosťou: redukuje riziká pre súkromie, zvyšuje kyberodolnosť a zrýchľuje zariadenia. Kľúčom je mať proces – inventúra, kategorizácia, prísne rozhodovanie a čistý odchod. To, čo zostane, spevnite obmedzením oprávnení a bežaním na pozadí. Opakujte každé tri mesiace a priebežne nahraďte appky s vysokou záťažou na súkromie alternatívami s menším zásahom.

Related Posts

Anonymizácia dát

Anonymizácia dát

Anonymizácia má limity; testujte riziko reidentifikácie a kombinujte techniky ako agregácia či k-anonymita.

Aktívne metódy rozvoja

Tréningové metódy založené na možnosti získavať nové schopnosti na základe vlastných skúseností s riešením situácií a problémov. Aktívne metódy rozvoja sú významným konceptom v oblasti […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *