Mobilne aplikacije z dostopom do interneta lahko kradejo fotografije
Matej Huš
2. mar 2012 ob 15:01:06
Ta teden sta se na tapeti ponovno znašla Apple in Google, ko je postalo jasno, da lahko aplikacije za njuna mobilna sistema (iOS oziroma Android) preveč enostavno pridobijo dostop do uporabnikovih fotografij. Najprej so to odkrili pri Applovem iOS-u. Izkazalo se je, da je nadzor nad dostopnostjo podatkov in pravicami različnih aplikacij zelo slab. Vsaka aplikacija namreč lahko zaprosi za dostop do lokacijskih informacij, o čemer je uporabnik pobaran z zelo splošnim vprašanjem, "ali želi podeliti dostop do podatkov o lokaciji v slikah in fotografijah." Kdor odgovori pritrdilno, vprašujoči aplikaciji dovoli popoln dostop do vseh fotografij in videoposnetkov, ki jih lahko brez nadaljnje interakcije pošlje v splet.
Apple je potrdil, da je to predvideno vedenje. Prvikrat so ga v iOS implementirali leta 2010, da bi bile aplikacije bolj učinkovite pri rokovanju s fotografijami. V podjetju trdijo, da zloraba kljub temu ni mogoča, saj pred uvrstitvijo na App Store vsako aplikacijo temeljito pregledajo in opazijo vsako neželeno ravnanje. Neodvisni varnostni analitiki so razvili aplikacijo PhotoSpy, ki izkoristi omenjenega hrošča za neželeno objavo fotografij na spletu in s tem dokazali obstoj ranljivosti (aplikacije niso poslali na App Store). Da se Applu kakšna aplikacija lahko izmuzne, je povsem mogoče, saj so v preteklosti že naknadno odstranjevali zavajajoče aplikacije.
Včeraj pa je The New York Times poročal, da še hujša luknja obstaja tudi v Androidu. Aplikacije za ta sistem vprašajo zgolj po dovoljenju za dostop do interneta, kar zadostuje za poln dostop do vseh fotografij na aparatu in njihovo pošiljanje v splet. Posebno dovoljenje za dostop do fotografij sploh ne obstaja. Google je v izjavi za javnost potrdil, da je omenjeno obnašanje prav tako načrtovano, in sicer so ga uvedli zaradi načina shranjevanja podatkov na prvih telefonih. Ti so se v veliki meri zanašali na izmenljive spominske kartice, tako da bi bila uporaba sistema privilegijev na posameznih datotekah (kot je to rešeno v Windows, Linuxu ali Mac OS) nepraktična. Ralph Gootee iz podjetja Loupe, ki razvija aplikacije, je napisal testno aplikacijo, ki se kakor enostavna štoparica namesti na androidni telefon. Ko vpraša za dostop do interneta, preišče vse fotografije na telefonu in na javni strani objavi najnovejšo.
Problem pri Androidu je še večji, ker se aplikacije ne pregledujejo. Res je, da je na uradnem Android App Storu mogoče prijaviti sumljive aplikacije in da jih Google spusti skozi Bouncer (simulacija, ki išče skrivne nakane aplikacij), a načeloma je platforma odprta. Objavlja lahko vsakdo in karkoli, prav tako pa naprava ni zaklenjena in omogoča namestitev aplikacij s poljubno provenienco. Google je obljubil, da bodo razmislili o spremembi načina dodeljevanja dostopa.