» »

Mobilne aplikacije z dostopom do interneta lahko kradejo fotografije

The New York Times - Ta teden sta se na tapeti ponovno znašla Apple in Google, ko je postalo jasno, da lahko aplikacije za njuna mobilna sistema (iOS oziroma Android) preveč enostavno pridobijo dostop do uporabnikovih fotografij. Najprej so to odkrili pri Applovem iOS-u. Izkazalo se je, da je nadzor nad dostopnostjo podatkov in pravicami različnih aplikacij zelo slab. Vsaka aplikacija namreč lahko zaprosi za dostop do lokacijskih informacij, o čemer je uporabnik pobaran z zelo splošnim vprašanjem, "ali želi podeliti dostop do podatkov o lokaciji v slikah in fotografijah." Kdor odgovori pritrdilno, vprašujoči aplikaciji dovoli popoln dostop do vseh fotografij in videoposnetkov, ki jih lahko brez nadaljnje interakcije pošlje v splet.

Apple je potrdil, da je to predvideno vedenje. Prvikrat so ga v iOS implementirali leta 2010, da bi bile aplikacije bolj učinkovite pri rokovanju s fotografijami. V podjetju trdijo, da zloraba kljub temu ni mogoča, saj pred uvrstitvijo na App Store vsako aplikacijo temeljito pregledajo in opazijo vsako neželeno ravnanje. Neodvisni varnostni analitiki so razvili aplikacijo PhotoSpy, ki izkoristi omenjenega hrošča za neželeno objavo fotografij na spletu in s tem dokazali obstoj ranljivosti (aplikacije niso poslali na App Store). Da se Applu kakšna aplikacija lahko izmuzne, je povsem mogoče, saj so v preteklosti že naknadno odstranjevali zavajajoče aplikacije.

Včeraj pa je The New York Times poročal, da še hujša luknja obstaja tudi v Androidu. Aplikacije za ta sistem vprašajo zgolj po dovoljenju za dostop do interneta, kar zadostuje za poln dostop do vseh fotografij na aparatu in njihovo pošiljanje v splet. Posebno dovoljenje za dostop do fotografij sploh ne obstaja. Google je v izjavi za javnost potrdil, da je omenjeno obnašanje prav tako načrtovano, in sicer so ga uvedli zaradi načina shranjevanja podatkov na prvih telefonih. Ti so se v veliki meri zanašali na izmenljive spominske kartice, tako da bi bila uporaba sistema privilegijev na posameznih datotekah (kot je to rešeno v Windows, Linuxu ali Mac OS) nepraktična. Ralph Gootee iz podjetja Loupe, ki razvija aplikacije, je napisal testno aplikacijo, ki se kakor enostavna štoparica namesti na androidni telefon. Ko vpraša za dostop do interneta, preišče vse fotografije na telefonu in na javni strani objavi najnovejšo.

Problem pri Androidu je še večji, ker se aplikacije ne pregledujejo. Res je, da je na uradnem Android App Storu mogoče prijaviti sumljive aplikacije in da jih Google spusti skozi Bouncer (simulacija, ki išče skrivne nakane aplikacij), a načeloma je platforma odprta. Objavlja lahko vsakdo in karkoli, prav tako pa naprava ni zaklenjena in omogoča namestitev aplikacij s poljubno provenienco. Google je obljubil, da bodo razmislili o spremembi načina dodeljevanja dostopa.

19 komentarjev

lanko ::

Škoda je le da iOS-i, Androidi in drugi nimajo že privzeto nameščenega požarnega zidu. Žalostno je tudi to da nameščanje požarnega zidu na telefon zahteva root dostop. To pa vsekakor je težava za ljudi, ki temu niso vešči.

nUUb ::

Pred parimi dnevi sem sprobal aplikacijo na Marketu "Sexy Wallpapers". Potem pa opazim GPS prižgan in aktivno uporabo interneta. Aplikacijo unistall-am, GPS se ugasne, povezava pa gre v stand-by. Res fajn. Sem pa aplikacijo prijavil zaradi nude vsebine(ni nevem kaj ;)), upam da bo odstranjena.
Q9550 - P5Q Deluxe - 6Gb - nV 560Ti - 850 EVO 250GB - 2TB NAS
LG 24" 1920x1200 & Philips 19" 1280x1024

illion ::

@nUUb o care, ne da bi jo prjavu zarad neprimerne rabe neta in GPSja, ampak zrad nudo vsebine. In to v aplikaciji z imenom 'sexy wallpapers'.. jao dej prav še vse web browserje pol k tud prikazujejo nudo vsebino na določenih spletnih straneh ;((

phong ::

@lanko : sploh nisem pomislil, da bi bil firewall na Android-u tako zelo smiseln. Lahko priporočaš katerega?
cool-proxy.net

RejZoR ::

avast! Mobile Security

Brezplačen, močen AV, firewall, anti-theft. Sploh firewall je fajn, ker je zelo enostaven za upravljat in lahko deluje v blacklist al pa whitelist načinu. Torej blacklist je da dovoli vsem razen tisto kar ti sam blokiraš. Whitelist pa blokira vse razen tisto kar odobriš sam. Na voljo imaš še posamezno opcijo za WiFi in 3G dostop ter roaming.
RejZoR's Flock of Sheep @ rejzor.wordpress.com

nUUb ::

illion je izjavil:

@nUUb o care, ne da bi jo prjavu zarad neprimerne rabe neta in GPSja, ampak zrad nudo vsebine. In to v aplikaciji z imenom 'sexy wallpapers'.. jao dej prav še vse web browserje pol k tud prikazujejo nudo vsebino na določenih spletnih straneh ;((

Ko bo možnost prijave zaradi GPSa in uporabe interneta, takoj! Zaenkrat te možnosti ni.
Q9550 - P5Q Deluxe - 6Gb - nV 560Ti - 850 EVO 250GB - 2TB NAS
LG 24" 1920x1200 & Philips 19" 1280x1024

lanko ::

phong je izjavil:

@lanko : sploh nisem pomislil, da bi bil firewall na Android-u tako zelo smiseln. Lahko priporočaš katerega?


kot pravi rejzor, Avast! v kolikor pa rabiš samo firewall pa droidwall

Golden eye ::

lanko je izjavil:

phong je izjavil:

@lanko : sploh nisem pomislil, da bi bil firewall na Android-u tako zelo smiseln. Lahko priporočaš katerega?


kot pravi rejzor, Avast! v kolikor pa rabiš samo firewall pa droidwall

droidwall je zakon

ales85 ::

Firewall je prvi korak, jaz pa čakam dan, ko bomo lahko posamezni aplikaciji omejili dostop do posameznih virov. Torej nekakšen firewall do posameznih dovoljenj (permissions), ki jih aplikacije zahtevajo za delovanje. Tako kot je pri Symbian. Preden dobi aplikacija dostop do posameznega vira vpraša (prvič ali vsakič) za internet ali imenik, ...).

Morda tudi to že obstaja?

JN ::

ales85 je izjavil:

Morda tudi to že obstaja?

Permissions Denied
https://market.android.com/details?id=c...

PDroid Privacy Protection
https://market.android.com/details?id=c...

ales85 ::

JN to obstaja ja, ampak samo za root dostop. Za običajne oziroma "navadne" uporabnike pa malo prezahtevno. To podporo si želim vgrajeno v sistem! :)

Mavrik ::

Večina ROMov in podobnega zdaj raje uporablja LBE Privacy Guard. Jasno zahteva root dovoljenja, je pa med vsemi najbolj dodelan in uporabniku prijazen.

MIUI verzije Androida ga recimo imajo kar integriranega.
The truth is rarely pure and never simple.

gslo ::

lbe privacy guard + droidwall uporabljam tudi sam. prva liga. nekdo gor je omenil "sexy wallpapers" aplikacijo? zadnjič sem preletel en seznam okuženih aplikacij na android marketu in sem prepričan, da je bil ta app tudi vmes. predvsem je na seznamu velik xxx appov, vsi vedo zakaj, očitno.. :-D

jype ::

You don't say.

Če je kdo tolk nor, da za fotografiranje občutljivih reči uporablja telefon, ki ga nima niti približno pod nadzorom...

Rape me, my friend.

Jst ::

Ko kupiš Google telefon - kar so vsi Android telefoni - kaj pa pričakuješ? Da te bo Google varoval pred "zlobo?" Verjetno uporabniki, ki niso prebrali nobene google licence, jim niti na pamet ne pade, da bi jim lahko "odtekali" podatki.


---

Zanimiva je pa raziskava v USA, da človek, ki prvič kupuje smartphone, se raje odloči za Android, kot pa za iPhone. Nekje 60:40. Ko taisti uporabnik kupuje drugi smartphone, se zadeva obrne ene 70:30 v prid iPhone-u.
Proton decay is a tax on existence.

MrStein ::

lanko je izjavil:

Škoda je le da iOS-i, Androidi in drugi nimajo že privzeto nameščenega požarnega zidu.

Zakaj? Saj že zdaj blokira dostop do interneta. Oziroma vpraša. In kdor je na to vprašanje odgovoril pritrdilno, bo na isto vprašanje od firewall-a spet odgovoril pritrdilno.
Teštiram če delaž - umlaut dela: ä ?

Jst ::

Pri namestitvi ti pove, do česa bo aplikacija dostopala, pri uporabi ji pa zavrneš recimo dostop do "/sdcard/DCIM".

Zame bi bil en orenk firewall super koristen, samo kaj ko (še) ni izdelka, ki bi res podrobno spremljal, kaj delajo aplikacije. Tako raje nimam pol-izdelka, ki se ukvarja samo "z dovoli dostop do interneta"/"ne dovoli dostopa do interneta".

Če pa kakšna takšna aplikacija obstaja, ki ne spremlja samo dostop do interneta, pa prosim, če mi jo pokažete. Jaz je pač še nisem našel.
Proton decay is a tax on existence.

zmaugy ::

Program za email, ki je inštaliran že v osnovi, mora imeti dostop do interneta, sicer nekako nima smisla. Se pravi da lahko tudi ta osnovni program v ozadju pošilja fotografije in ostale podatke Googlu?
Lesi se vrača ali zmaugy bo šel na Windows tabletko in en čist simpl stupid phone.

PS: Je pa skrajno smešno, da bo imelo smisel migrirati iz Linux/Apple nazaj na Windows zaradi večje varnosti >:D

Zgodovina sprememb…

  • spremenilo: zmaugy ()

cink44 ::

gslo je izjavil:

lbe privacy guard + droidwall uporabljam tudi sam.


Zakaj oboje? LBE privacy guard ima enako sposoben firewall kot Droidwall + dodatke?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mobilne aplikacije z dostopom do interneta lahko kradejo fotografije

Oddelek: Novice / Zasebnost
193475 (1591) cink44
»

Rast Windows Phone 7 Marketplace stabilna, Android Market ima več brezplačnih aplikac

Oddelek: Novice / Windows Mobile
92164 (1671) x800xt
»

Trend Micro: Android ranljivejši kakor iOS

Oddelek: Novice / Android
173315 (1989) thramos
»

Odkrita zmikavtska aplikacija za Android

Oddelek: Novice / Android
143353 (2521) Testman42
»

App Store dve leti in pet milijard aplikacij pozneje

Oddelek: Novice / Android
355139 (3725) MrStein

Več podobnih tem