Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Android na celowniku twórców złośliwego oprogramowania, a uprawnienia aplikacji

Przed instalacją każdej aplikacji na Androida prezentowana jest lista wymaganych przez nią uprawnień. To kuszące, aby pominąć ten krok i po prostu przejść dalej. Warto jednak oprzeć się pokusie i przeczytać ten wykaz. Pozwoli to przynajmniej częściowo zrozumieć jakich informacji ta aplikacja potrzebuje i uświadomić sobie do jakich funkcji telefonu będzie miała ona dostęp.

Uprawnienia są najlepszym przyjacielem jak i największym wrogiem użytkowników oraz deweloperów Androida. Niektóre z najlepszych aplikacji tworzonych przez renomowanych deweloperów wciąż potrzebują całkiem szerokich uprawnień, aby robić nawet podstawowe rzeczy. Z drugiej strony, kontrowersje wokół złośliwego oprogramowania na Androida (o tym w dalszej części) na pewno sprawiają, że długa lista uprawnień przed instalacją nowej aplikacji to przerażające doświadczenie.

Na celowniku twórców złośliwego oprogramowania

Od kiedy systemy mobilne zagościły na dobre w naszych smartfonach, odnotowuje się coraz bardziej dynamiczny wzrost zagrożeń, jakie czyhają na potencjalnego użytkownika. Jak się okazuje twórcy złośliwego oprogramowania skupiają się głównie na systemie z zielonym ludkiem.

79% spośród wszystkich wykrytych w ubiegłym roku zagrożeń mobilnych powstało z myślą o Androidzie, jak wynika z najnowszego raportu sporządzonego przez specjalistów z F-Secure. Jeszcze w 2010 roku odsetek szkodliwych aplikacji i wirusów, którym celem był najpopularniejszy mobilny system operacyjny wynosił zaledwie 11%, natomiast w 2011 roku już 66%. Lawinowy wzrost zainteresowania twórców oprogramowania malware systemem Google jest efektem rosnącej popularności tej platformy na rynku mobilnym. W ubiegłym roku udziały w rynku Androida wzrosły do 68,8% z 49,2% rok wcześniej.

W raporcie zagrożeń za 2 kwartał 2013 roku McAfee zanotowało ponad 17 000 nowych próbek malwaru na Androida, co oznacza, że już w połowie roku liczba złośliwego kodu prawie osiągnęła poziom z całego 2012 roku. Prognozy mówią co najmniej o podwojeniu tej liczby na koniec 2013 roku.

Natomiast raport bezpieczeństwa firmy Symantec na sierpień 2013 wymienia 6 typów złośliwego oprogramowania, które najbardziej dają się we znaki użytkownikom technologii mobilnych, a w szczególności smartfonów i tabletów:

  • Śledzenie użytkowników - zbieranie wiadomości SMS i wybieranych numerów telefonu, śledzenie lokalizacji za pośrednictwem GPS, nagrywanie rozmów telefonicznych czy przechwytywanie zdjęć i filmów nagrywanych zainfekowanym urządzeniem.
  • Kolekcjonowanie informacji - dane zbierane o urządzeniu, jego konfiguracji jak i dane wrażliwe dla użytkownika, np. dane bankowe.
  • Tradycyjne zagrożenia - backdoory, pobieranie płatnych treści itp.
  • Zmiana ustawień - podnoszenie sobie uprawnień czy modyfikowanie ustawień systemu operacyjnego.
  • Niechciane reklamy - wyświetlanie reklam, które mogą wykonywać niepożądane akcje lub rozpraszać i denerwować użytkownika.
  • Wysyłanie treści - wysyłanie wiadomości tekstowych na numery usług SMS PREMIUM, wysyłanie spamu.

Wraz z popularnością Androida bank aplikacji Google Play stał się popularnym kanałem dystrybucji złośliwego oprogramowania. Instalując aplikacje użytkownicy sami zezwalają na dostęp do funkcji urządzenia czy szeroko rozumianych danych osobowych, a one są bardzo łakomym kąskiem.

Aplikacje na Androida - po co wam tyle uprawnień?

Pierwszą rzeczą jaką należy zrobić to uświadomić sobie co te wszystkie uprawnienia, na które zgadzamy się przy instalacji, właściwie znaczą. Niektóre aplikacje proszą o ich ogromne ilości (tylko do prawidłowego działania, np. Facebook, Google+, Gmail, itp.), podczas gdy inne proszą o stosunkowo niewiele swobody.

Ostatecznie mniej ważne jest, aby zrozumieć CO oznacza każdy rodzaj uprawnienia, ale DLACZEGO aplikacja żąda go podczas instalacji lub aktualizacji. Zawsze należy przeczytać listę uprawnień i spróbować skorelować je z funkcjami aplikacji. Jeśli można racjonalnie powiązać uprawnienie z funkcjonalnością (np. aplikacja SMS, która musi czytać wiadomości SMS, czy klient poczty musi mieć dostęp do internetu, żeby pobierać wiadomości), to nie ma się czym martwić. Spójrzmy prawdzie w oczy. W większości przypadków, aplikacja prosi o uprawnienia dlatego, że potrzebuje ich do pracy.

Jedynym wyjątkiem od tej reguły są aplikacje, które wymagają uprawnień roota. Po zrootowaniu przyznajemy sobie najwyższy poziom dostępu do wewnętrznych mechanizmów systemu operacyjnego telefonu. Gdy aplikacja wnioskuje o dostęp do uprawnień administratora, należy poważnie zastanowić się nad tym, czy aplikacja ich rzeczywiście potrzebuje. Aplikacje takie jak ROM Manager i Titanium Backup potrzebują roota, ponieważ wykonują one zadania na poziomie systemu operacyjnego w telefonie. Jeśli jednak aplikacja zegar prosi o root, to przed kliknięciem "zainstaluj" trzeba upewnić się i zrozumieć dlaczego ona tego potrzebuje. Jeśli nie ma pewności, nie należy wyrażać zgody.

Uwaga na bezpodstawne kombinacje uprawnień

Niestety wszystkie uprawnienia są z natury niebezpieczne. Jednak większość z nich pojedynczo jest dość nieszkodliwa. Nawet samo uprawnienie do połączenia internetowego nie może wiele zrobić - w większości aplikacji jest ono potrzebne do wyświetlania reklam.

To na co trzeba naprawdę uważać, to aplikacje, które łączą różne uprawnienia i tworzą z nich niebezpieczne kombinacje. Na przykład, jeśli przeglądarka plików wymaga uprawnień do przeglądania pamięci oraz dostępu do połączenia internetowego w celu wyświetlania reklam - nie ma sposobu, aby zapobiec zbieraniu danych z systemu plików (w tym np. zdjęć) i wysyłaniu ich do Internetu. Nawet aplikacje, które wydają się mieć uzasadnienie dla posiadania wielu uprawnień mogą być niebezpieczne.

W Androidzie istnieje co najmniej 7 potencjalnie niebezpiecznych uprawnień, które w połączeniu z innymi mogą skutkować naruszeniem bezpieczeństwa naszych danych.

  • 1. Dostęp do uwierzytelniania kont - mogą zostać wykradzione hasła.
  • 2. Czytanie danych wrażliwych - czytanie wrażliwych logów czy zestawień systemowych czasami zawierających dane logowania jak login i hasło.
  • 3. Czytanie kontaktów - zdobywanie bazy telefonów, maili czy podszywanie się pod użytkownika zainfekowanego telefonu używając danych z książki telefonicznej.
  • 4. Zapisywanie ustawień systemu - daje dostęp do odczytu i zapisu ustawień systemowych, co np. w przypadku włączenia transmisji danych może nas narazić na koszty.
  • 5. Analiza połączeń wychodzących - monitorowanie połączeń wychodzących, numerów telefonów czy szczegółów połączenia.
  • 6. Wysyłanie SMS - wysyłanie wiadomości tekstowych i MMS na numery SMS Premium czy zapisywanie na płatne subskrypcje.
  • 7. Czytanie danych społecznościowych - dostęp do danych przesyłanych przez Facebooka czy Twittera.

Chcesz uprawnienia? - Sprawdzam.

Łatwo jest się przestraszyć widząc o jak wiele informacji proszą aplikacje. Dlatego nawet w stosunku do aplikacji z zaufanych źródeł należy zadać sobie kilka pytań:

  • Czy to aplikacja od zaufanego dewelopera? (Czy wygląda ona na złośliwe oprogramowanie?)
  • Czy rozumiem dlaczego ta aplikacja potrzebuje tych uprawnień?
  • Czy deweloper mi wytłumaczył dlaczego jego aplikacja potrzebują tych uprawnień? (Czy są one wymienione w Google Play, wraz z uzasadnieniem dla każdego z osobna? Często zdarza się, że są.)
Jeśli odpowiedź na te trzy pytania brzmi: tak, nie ma się czego obawiać. Jeśli natomiast zacznie pojawiać się odpowiedź: nie, należy zastanowić się, czy naprawdę ta aplikacja jest potrzebna. Nawet aplikacja od zaufanych deweloperów może zbierać wiele danych. Może to być w celach reklamowych i marketingowych lub dlatego, że ktoś z programistów coś zepsuł. Jeśli deweloper nie jest znany oraz nie wyjaśnia on, dlaczego aplikacja potrzebuje tylu uprawnień, należy trzymać się od niej daleka. Wyjątkiem jest sytuacja, w której rozumiemy zagrożenie i mamy pewność, że uprawnienia są konieczne dla tego rodzaju aplikacji.

Patrzenie na aplikację, który wymaga wielu uprawnień może być przerażające, ale przed wyciąganiem pochopnych wniosków na jej temat należy przejrzeć jej kartę w Google Play. Jak wspomniano powyżej, jeśli deweloper tłumaczy dlaczego każda zgoda jest wymagana dla poprawnego funkcjonowania jego aplikacji, nie ma się o co martwić. W przypadku jeśli uważamy, że aplikacja robi coś innego, za kulisami i w ukryciu, to zapewne ludzie będą o tym pisać w opiniach na jej temat.

Przeczytanie opisu aplikacji w Google Play może okazać się bardzo pomocne. Coraz więcej deweloperów wymienia uprawnienia na dole listy funkcji. Robią to częściowo w celu zwalczania paranoi oraz dlatego, żeby było jasne jakie dane ich aplikacja potrzebuje od użytkownika. Nawet jeżeli nie zostanie ta informacja umieszczona w Google Play to bardzo często można znaleźć ją na stronie internetowej dewelopera. Większość aplikacji w Google Play posiada link "Odwiedź witrynę programisty" lub "Polityka prywatności". Zawsze można też zwrócić się bezpośrednio do twórców za pomocą poczty e-mail. Każda aplikacja ma link "Wyślij e-maila", który można wykorzystać i zapytać dlaczego ich aplikacja wymaga tylu uprawnień i do czego one służą.

Deweloperzy muszą być transparentni w sprawie uprawnień, których żądają. A użytkownicy muszą być ostrożni, jednak nie podchodzić paranoicznie, w stosunku do twórców, którzy nie wiedzą dlaczego ich aplikacja wymaga uprawnień. Stawianie im wyzwań w postaci pytań o szczegóły może przekonać ich do zamieszczenia informacji na karcie aplikacji.

Monitorowanie na własną rękę

W przypadku chęci zainstalowania aplikacji, która ma: wątpliwe uprawnienia; jej uprawnienia są niezrozumiałe dla użytkownika; uważa on, że nie są one niezbędne do jej funkcjonowania; można zastosować specjalistyczne aplikacje. Niektóre z nich zatrzymają uciążliwe aplikacje przed uzyskiwaniem danych, a inne będą po prostu monitorować zainstalowane aplikacje czy nie robią czegoś niepożądanego.

Ukryta funkcja w Android 4.3 pozwala na całkowitą kontrolę nad uprawnieniami aplikacji

Niedawno odkryta funkcjonalność w Androidzie 4.3 pozwala na zarządzanie uprawnieniami każdej aplikacji. Oznacza to, że możemy nieco ograniczyć podejrzane programy. Szczególnie, jeśli nie jesteśmy pewni do czego tak naprawdę niektóre z uprawnień mogą służyć. W celu dotarcia do ukrytej opcji systemu należy zainstalować Permission Manager (w momencie publikacji w Google Play było już więcej dostępnych aplikacji o podobnej funkcjonalności), który ułatwia dostęp do ukrytej jeszcze opcji systemu. Nowa funkcja dostępna jest tylko w systemie Android 4.3+.

Rozwiązania uniwersalne

PermissionDog - analizuje zainstalowane aplikacje i sprawdza ich uprawnienia. Każdą z kategoryzuje ze względu na prawdopodobieństwo nadużycia oznaczając je odpowiednimi kolorami. Może też działać w tle i informować użytkownika o uprawnieniach jakie posiada uruchamiana przez niego aplikacja (gdyby zdążył już zapomnieć co akceptował przy instalacji ;-).

W większości przypadków do zarządzania uprawnieniami aplikacji w smartfonie (poniżej Android 4.3) potrzebny jest root.

PDroid Privacy Protection (wymaga root) - ma oko na informacje o jakie proszą inne aplikacje i pozwala zezwolić lub zabronić im dostęp. Instalacja wymaga wgrania (flashowanie dla zaawansowanych użytkowników) patcha, który pozwoli na blokowanie aplikacji bez powodowania ich błędnego działania.

LBE Privacy Guard (wymaga root) - działa trochę jak firewall dla systemu Android, powiadamiając użytkownika, gdy aplikacja próbuje uzyskać dostęp do danych i daje możliwość wyboru, aby zezwolić lub odmówić jej.

DroidWall (wymaga root) - front-end dla iptables znanych Linux firewall. Pozwala ograniczać dostęp do internetu zainstalowanym aplikacjom.

Zanim spanikujesz wykonaj rekonesans

Nie ma powodu, żeby panikować i szaleć za każdym razem kiedy znalazło się aplikację, która wymaga dużej liczby uprawnień. W wielu przypadkach problemem może być brak zrozumienia dlaczego aplikacja wymaga uprawnień. Powodem może być jakaś zależność w Androidzie, która twórca musiał spełnić, żeby aplikacja działała prawidłowo. Zanim oskarżysz dewelopera o kradzież danych, sprawdź w Google Play lub poproś go bezpośrednio o informacje. Jeśli to zbyt wiele wysiłku to po prostu nie instaluj aplikacji i znaledź alternatywę, która jest bardziej przejrzysta ze swoimi uprawnieniami.

Niewiedza i niepełne zrozumienie znaczenia uprawnień, o które prosi aplikacja to nie zbrodnia, ale świadome ich ignorowanie to już głupota. 

oprogramowanie bezpieczeństwo urządzenia mobilne

Komentarze

usr (niezalogowany) 06.10.2013 18:17 #1

Android niestety nie należy do najbezpieczniejszych systemów (no chyba, że dana osoba ma dość dobrą wiedzę co i jak) dlatego może lepszym rozwiązaniem jest windows phone lub ios. Moje trzy grosze.

Vanshei  06.10.2013 18:56 #2

Dobry wpis :) I faktycznie niektóre aplikacje wymagają sporo rzeczy.
Najlepiej to chyba widać w grach które nie raz wymagają całej listy uprawnień zupełnie bez przyczyny .

googlebot (niezalogowany) 06.10.2013 19:01 #3

Przy opisie PDroid w jednym miejscu jest niewłaściwy link do aplikacji z krzaczkami na screenach :D

Pangrys WSPÓŁPRACOWNIK 06.10.2013 19:09 #4

Ale jakże to ? Gdzie jest RaveStar i jego twierdzenia o bezpiecznym Androidzie ?

Świetny tekst i fajnie udokumentowany.

elik1028  06.10.2013 19:17 #5

Trzeba wiedzieć co się akceptuje :-)

wujcio  06.10.2013 19:18 #6

Nie mogę pojąć czemu google w opcjach nie dodało możliwości blokady dostępu do listy kontaktów i pozycji a jeśli aplikacja sapała by na brak takiego dostępu to byłaby opcja tworzenia fikcyjnej listy kontaktów bądź innych danych.

oprych  06.10.2013 19:35 #7

Pangrys, bo tekst nie jest obiektywny i na pewno jest sponsorowany przez Microsoft :)

A tak swoją drogą... Ile użytkowników przy instalacji oprogramowania nieważne czy na Androidzie czy Windowsie cokolwiek czyta?

msnet  06.10.2013 20:01 #8

W smartfonowo-tabletowo-komputerowym świecie istnieje prosta zasada: im coś jest bardziej popularne tym jest większą zachętą dla wszelkiej maści ludzi czyhających na nasze dane i chcących w taki czy inny sposób zaszkodzić naszym "zabawkom". W świecie komputerów prym wiedzie Windows, dlatego jest na niego najwięcej wirusów i tego typu śmieci. W świecie smartfonów króluje Android, który w dodatku jest systemem otwartym, zatem nie ma co się dziwić, że jest coraz więcej złośliwego oprogramowania na tą platformę.

gowain  06.10.2013 20:46 #9

Największą winę ponosi tutaj Google. Bo to przez Google Play przechodzi sporo tego typu aplikacji. Google na tym w dodatku zyskuje (od prowizji, po możliwość chwalenia się ile to mają aplikacji). Jeżeli korzystam z OFICJALNEGO marketu, to dlaczego mam się bać i zastanawiać? I to nie jest kwestia głupoty ludzkiej, tylko zaufania, a że Google nie wywiązuje się z tego zadania, to powinno zostać srodze ukarane.

mikolaj_s  06.10.2013 20:53 #10

@msnet: "W świecie komputerów prym wiedzie Windows, dlatego jest na niego najwięcej wirusów i tego typu śmieci. W świecie smartfonów króluje Android, który w dodatku jest systemem otwartym, zatem nie ma co się dziwić, że jest coraz więcej złośliwego oprogramowania na tą platformę."

Ale zobacz, że nie słychać o wirusach na Androida. Jeśli rozumiesz otwartość przez możliwość instalacji programów z poza sklepu Google, to faktycznie zwiększa to prawdopodobieństwo zainstalowania jakiegoś syfu. A swoją drogą to Google powinno trochę wziąć się za kontrolę aplikacji w sklepie, bo dopuszczając je niejako firmują, więc ewidentny malware jaki można tam znaleźć powinien szybko wylecieć ze sklepu, a deweloper, który go wystawił powinien zostać zbanowany.

@fervi: To nie wirusy tylko głównie trojany, wirusy w sprzyjających warunkach mogą kopiować się i użytkownik bez antywirusa jest bezradny.

Shinjiru  06.10.2013 21:03 #11

YYYYYYYH jakie to złośliwe oprogramowanie jest straszne XD ojoj sorry mam tableta XD

Scheiwar  06.10.2013 21:18 #12

A w WP to niby jakiś inny? Tam nigdy się nie dowiecie czy do M$ trafiają wasze dane czy nie. Nie zobaczycie listy co aplikacja może.

lukasamd WSPÓŁPRACOWNIK 06.10.2013 21:24 #13

Ogólnie problem nie tyle dotyczy platformy jako takiej, ale nieświadomości użytkowników - bo ilu z nich naprawdę przygląda się nadawanym uprawnieniom? No właśnie... Tutaj powiedziałbym raczej o tym, że wykorzystują one nieuwagę użytkownika. Nadal są jednak izolowane, mają swoją chronioną przestrzeń i nie mają dostępu do takiej samej przestrzeni innych aplikacji jak i danych systemowych. Co innego aplikacje z uprawnieniami root. Te mogą wszystko.


@Scheiwar:
Mylisz się, są w danych o aplikacji są informacje o tym, do czego chce ona dostępu.

gowain  06.10.2013 21:32 #14

@lukasamd tyle, że w przypadku Google Play wchodzi w grę zaufanie do marketu. Tak jak masz w jakimś stopniu odgórnie zakodowane zaufanie do dajmy na to banku, tak kupując smartfona i widząc w nim fabrycznie wgraną ikonkę Google Play wychodzisz z założenia, że to jest bezpieczne miejsce. Tu najwięcej Google jest winne, że przepuszcza taki syf.

gowain  06.10.2013 21:33 #15

@Scheiwar Ciekawe, bo instalując aplikacje na WP wyświetla mi się lista co aplikacja potrzebuje...

xomo_pl  06.10.2013 22:13 #16

@gowain, pełna zgoda co do złego podejścia google do marketu (Google Play). Uważam, że w końcu powinni wdrożyć jakieś porządne mechanizmy sprawdzania aplikacji pod kątem bezpieczeństwa a przede wszystkim wprowadzić możliwość selektywnego wyboru uprawnień dla każdej aplikacji z osobna (opcjonalną oczywiście dla osób "zaawansowanych")- w ten sposób można by blokować aplikacjom dostęp do jakiś danych ale nadal z niej korzystać [w ograniczonym zakresie zapewne ale mimo wszystko]. Często jest tak, że wiele aplikacji chce całej listy uprawnień, z czego jakaś połowa to nie jest widzimisię autorów a rzeczywista potrzeba aplikacji...

dendrytus  06.10.2013 22:19 #17

usr (niezalogowany) "Android niestety nie należy do najbezpieczniejszych systemów (no chyba, że dana osoba ma dość dobrą wiedzę co i jak) dlatego może lepszym rozwiązaniem jest windows phone lub ios. Moje trzy grosze."

Owszem WP jest bezpieczniejszy z prostej przyczyny - brak aplikacji.

djDziadek  06.10.2013 22:28 #18

@SebaZ - fajnie rozwinąłeś temat, który poruszałem jakiś czas temu na łamach bloga:
http://www.dobreprogramy.pl/djDziadek/Ciekawe-wymagania-aplikacji-mobilnych,4279...
Szacun za zaangażowanie, jednak wielu "normalnych" userów nadal używa starszych wersji Andka i tylko myślenie lub zainteresowanie informacjami o apkach może im zaoszczędzić zmartwień i niejednokrotnie kasy.

gowain  06.10.2013 22:35 #19

@zomo_prl chyba takie rozwiązanie miałem w BlackBerry Playbooku - można było wybrać, przy czym była uwaga, że aplikacja może działać niestabilnie.

eimi REDAKCJA 06.10.2013 22:43 #20

Bardzo dobry tekst, chłopaku. Te żądania Angry Birds to zapewne dotyczą emitowanych w grze reklam - podobne stawiają praktycznie wszystkie apki adware.

Moja rada: na początku zablokować DroidWallem praktycznie wszystkim aplikacjom dostęp do Sieci. Klient poczty, przeglądarka, czat, jasna sprawa, ale po co budzikowi komunikacja z jakimś serwerem nie wiadomo gdzie?

A co do antywirusów... testowałem jakiś rok temu kilka programów "antywirusowych" na androida, celowo zarażając system różnymi takimi robakami - te darmowe apki z marketu w ogóle nie działały.

SebaZ  06.10.2013 22:48 #21

@djDziadek
Szczerze przyznam, że nie brałem Twojego postu pod uwagę w trakcie redagowania tego tekstu, ale czytałem go w lipcu :) Ot natknąłem się na jeden z raportów wymienionych w treści, ale w starszej wersji, bo na 2012 rok. Zacząłem grzebać, szukać i powstał ten oto artykuł, a może już felieton? (wyraziłem swoje zdanie, zwłaszcza w ostatnim zdaniu)

Co do starszych wersji Androida to nie mają one znaczenia, bo wbrew pozorom Android sam w sobie jest bardzo bezpieczny http://qz.com/131436/contrary-to-what-youve-heard-android-is-almost-impenetrable.../ i obwarowany wieloma warstwami abstrakcji. Problemem jest sam użytkownik i jego postępowanie. Google Play to tylko jeden z wielu kanałów dystrybucji - w chwili obecnej najszybszy i najprostszy. Użytkownik sam klika, sam instaluje. To już nie jest złośliwy kod i klasyczny malware znany z komputerów, gdzie był to zwykle jakiś exploit w przeglądarce, czy doklejony do ulubionej gry keylogger. Tutaj sami często udostępniamy dane, które na rynku chociażby marketingowym warte są grubą kasę.

Z drugiej strony Google nie walczy zbyt skutecznie z tymi praktykami, bo prawdę mówiąc to te aplikacje wykorzystują funkcje Androida. Bez nich system nie miałby sensu istnienia, bo byłby nieprzydatny. Tylko twórcy aplikacji wykorzystują uprawnienia dostępu do danych nie do końca etycznie i niezgodnie z potrzebami technicznymi aplikacji.

Google to korporacja - ma zarabiać, a zbierane dane zasilają też bazę systemów reklamowych, co przekłada się na pieniądze. Nie bez znaczenia też jest kwestia, wspomniana już przez kogoś, ilości aplikacji w markecie i popularności systemu na rynku. Więcej aplikacji to więcej pretekstów do chwalenia się jak to nasz sklep jest bogaty w oprogramowanie. Kupujcie urządzenia z naszym systemem, bo tam każdy znajdzie to czego potrzebuje itd.

SebaZ  06.10.2013 22:54 #22

@eimi (redakcja)
Owszem chodzi o reklamy, ale nikt nie jest w stanie zagwarantować 100% pewności co do tego. Geolokalizację i połączenie z internetem rozumiem - reklamy, ale połączenia telefoniczne i stan telefonu, czy jest podłączony do sieci komórkowej (bo to uprawnienie na to właśnie pozwala) to już przesada. No i Angry Birds reprezentuje tylko typ Adware, a są jeszcze inne. Im więcej kombinacji uprawnień tym więcej możliwości nadużyć.

SebaZ  06.10.2013 22:57 #23

@gowain
"Tu najwięcej Google jest winne, że przepuszcza taki syf."
Przepuszcza, bo jest im to na rękę i nadal nie jest niezgodne z przeznaczeniem. Użytkownik wie przed instalacją na co pozwala, a aplikacja wykorzystuje możliwości jakie daje jej OS.

gowain  06.10.2013 23:06 #24

@SebaZ tak to możemy każde złe działanie wytłumaczyć. Tu podstawą są złe i podstawy trzeba zmieniać, a nie zwalać winę na użytkownika końcowego. Jak każdy produkt, każde działanie, każdy krok będzie miał być sprawdzany przez użytkowników końcowych to popadniemy w paranoję. Po za tym, ludzie zamiast zajmować się sprawami dla nich ważnymi, będą sprawdzali każdy swój ruch, marnując czas.

SebaZ  06.10.2013 23:24 #25

@gowain
Rozumiem Twoje rozgoryczenie. Staram się być obiektywny. Pomijając mikropłatności, które są złem wcielonym :P, to gdyby nie reklamy, większość gier czy aplikacji nie byłaby darmowa. A jak reklamy to potrzebny jest internet czy geolokalizacja. Tak źle i tak nie dobrze. Koło się zamyka i nie da się dogodzić wszystkim, a kasa i tak zawsze wygra.

as_rudy  06.10.2013 23:29 #26

True
Sporo się naszukałem, żeby znaleźć aplikację typu "latarka", która nie wymagała kompletu uprawnień. Paranoja czego to twórcy od nas wymagają, by ich, często lipne programy, w ogóle chciały się uruchomić.

gowain  06.10.2013 23:44 #27

@SebaZ ale to tak jak pisałem, podstawy są złe, już kiedyś spierałem się z kimś na DP odnośnie tego, konkretnego problemu. Google jest winne, że wygląda to tak jak wygląda. Czy nie dałoby się zrobić osobnej kategorii uprawnień dla reklam? Jakoś to inaczej zorganizować, żeby było wszystko przejrzyste?

SebaZ  06.10.2013 23:44 #28

Pewnie dałoby się, ale widać jest im dobrze tak jak jest :)

dendrytus  07.10.2013 00:00 #29

"Powodem może być jakaś zależność w Androidzie, która twórca musiał spełnić, żeby aplikacja działała prawidłowo. Zanim oskarżysz dewelopera o kradzież danych, sprawdź w Google Play lub poproś go bezpośrednio o informacje. "

Fajnie, tylko jak wytłumaczysz to http://gallery2.dpcdn.pl/imgc/UGC/48178/g_-_250x166_-_-_48178x20131006135058_0.png

W zasadzie to można by cię pozwać do sadu o zniesławienie.

SebaZ  07.10.2013 00:10 #30

@dendrytus
"(...) nie popełnia przestępstwa zniesławienia, kto publicznie podnosi lub rozgłasza prawdziwy zarzut, który służy obronie społecznie uzasadnionego interesu (...)"

Wyrażam wątpliwość co do potrzeby tych uprawnień do prawidłowego jej działania. Nie oskarżam konkretnej appki, to przykład, a że padło na to co padło - cóż... peszek latających kurczaków.

Bucic  07.10.2013 01:02 #31

Streszczenie:
Android to kpina zrzucająca na użytkownika ocenę uprawnień, którą mało kto potrafi przeprowadzić. Do tego żądanie nieadekwatnych uprawnień przez aplikacje to na Androidzie NORMA, a nie nieliczne przypadki.

Rafik89  07.10.2013 07:24 #32

@SebaZ bardzo dobry artykuł!
Ja zawsze przed instalacją przywykłem do czytania wymagań danej aplikacji, dlatego też w moim Androidzie nie znajduje się nic prócz kilku aplikacji tj. kodeki, DreamStream, Navmax.
Pozbyłem się nie potrzebnych aplikacji których w ogóle nie używałem... Kamera, radio, galeria, itp.

Faktem jest to, że użytkownik przed instalacją jest informowany o wymaganiach aplikacji (można to traktować jako swoisty regulamin, który akceptujesz podczas instalacji) ale traktuje to tylko jako jakiś nie istotny dymek w którym trzeba kliknąć dalej/zainstaluj/akceptuj.

Jesteś webmasterem, programistą wystarczy prosty test który będzie polegać na akceptacji regulaminu podczas rejestracji.W regulaminie umieść informację która będzie się wyświetlać raz podczas pierwszego wglądu w regulamin. Po rejestracji poproś o podanie fragmentu który byłby tam umieszczony i wyszczególniony jako forma weryfikacji. Jaka była ilość ludzi która nie miała by pojęcia co tam było napisane?

Taka sama albo i większa skala panuje na androidzie.

MM Base (niezalogowany) 07.10.2013 11:42 #33

Problem jest z tym że żeby zainstalować jakąś darmową aplikację trzeba wyrazić dostęp do lokalizacji, internetu itd. Darmowych aplikacji które nie wymagają takich uprawnień prawie nie istnieją. Więc wybór jest prosty płatna aplikacja albo aplikacje z adware lub spyware.

gowain  07.10.2013 11:42 #34

@Rafik89 trochę zły przykład, ja na przykład często czytam regulaminy, ale nie po to, żeby coś z nich zapamiętać, ale po to, żeby sprawdzić, czy nie ma tam nic "groźnego" dla mnie. Przeczytam, stwierdzę, że jest ok, zapomnę. Weryfikacja wiedzy z regulaminu jest bezsensu.

@SebaZ nie przejmuj się dendrytusem to troll androidowy... będzie bronił Androida do upadłego, choćby nie wiem jak głupie były argumenty.

Tesseract  07.10.2013 11:51 #35

Chciałbym jedynie dodać ku przestrodze że jak LBE jest świetną aplikacją tak jej starsza wersja, ta niebieska dostępna w markecie, powoduje poważne problemy na androidzie >=4.0 (bootloop). Jej nowsza wersja, z mnóstwem nowych funkcji i bez tego błędu jest dostępna w markecie po chińsku lub wersji angielskiej na XDA (google: lbe english).

command-dos  07.10.2013 12:01 #36

@eimi - "ale po co budzikowi komunikacja z jakimś serwerem nie wiadomo gdzie?" Z serwerem NTP na przykład ;) generalnie zgadzam się - uprawnienia chcą do niewiadomo czego. Ludzie już nawet nie czytają, co akceptują i zgadzają się na wszystko - zaraz będzie jak w poranku kojota: zapukają do drzwi i usłyszymy: "proszę tu mojemu koledze zrobić dobrze - dzień dobry...", bo okaże się, że wyraziliśmy na to zgodę, zaakceptowaliśmy...

Rudobrody  07.10.2013 12:24 #37

Niestety miałem z tym do czynienia na Samsungu mojej Lubej, gdzie po instalacji apki zaczęły wyskakiwać jakieś okna na poziomie systemu (aplikacja była zamknięta), oraz później zaczęły przychodzić SMSy z reklamami. Obłęd jakiś, bo używając na co dzień WP nie mam takich problemów. Każda aplikacja działa w swoistym sandboksie, więc o ile wiem nie może uzyskać dostępu do listy kontaktów czy skrzynki (sms bądź email). Do tego system ma szyfrowanie już na poziomie sprzętowym, przez co obecnie napisanie wirusa czy w ogóle wstrzyknięcie jakiegokolwiek kodu jest niewykonalne. Gdzieś nawet niedawno czytałem artykuł o tym. Nie dalej jak dwa dni temu miałem dyskusję z jednym fanem Androida, który argumentował, że Android jest bardziej otwarty i więcej można w nim nazmieniać. Tak, ale to ma swoją cenę...

tobster  07.10.2013 14:49 #38

msnet - według Ciebie to, że soft jest otwarty zwiększa jego niebezpieczeństwo ? Pff powodzenia.

Rafik89  07.10.2013 16:13 #39

@gowain - Źle mnie zrozumiałeś, miałem na myśli umieszczenie w tekście wyszczególnionego tekstu w formie: "A teraz zapamiętaj hasło które zostanie użyte do weryfikacji - CZAJNIK" itp. ;)

dizooooooooo (niezalogowany) 07.10.2013 18:47 #40

KAŻDY SYSTEM OPERACYJNY JEST BEZPIECZNY NA TYLE ILE JEGO UŻYTKOWNIK JEST ŚWIADOMY. Ileż to razy się spotykam z zaśmieconymi systemami operacyjnymi mimo zainstalowanymi antywirusami. A dlaczego dlatego że jego użytkownik coś potwierdził. A bo wyskoczyło "zainstaluj darmowego antywirusa" czy "przyśpiesz swój komputer". Tyle że się okazało to crapwarem. Teraz czekam na identyczny wpis odnośnie Windows Phone. W końcu w tym systemie też wymagane są uprawnienia do danej biblioteki. iOS oj tu w ogóle nic nie wiemy. Nawet na iOS7 okazał się podatny na ataki.

SebaZ  08.10.2013 09:00 #41

@dizooooooooo (niezalogowany)
Z opisem Windows Phone i iOS będzie trudniej, bo nie jestem użytkownikiem tych systemów i nie chcę być :P iOS gardzę, a WP nie obsługuje szyfrowania TLS. Na razie zostaję przy Andku ;)

vodi (niezalogowany) 29.10.2013 00:52 #42

To jest masakra. Praktycznie większość gier wymaga wiele. Po co im dostęp do kąt oraz połączeń wychodzących? Jak pomyślę ile dzieciaków ma smartfony i co ktoś może robić z naszymi danymi aż mnie wstrząsa. Chciało się nam nowinek technicznych ale nikt nie myślał o szeroko pojętych konsekwencjach

Gladiuss (niezalogowany) 11.11.2013 11:28 #43

Zajebisty artykuł. Dzięki bo nie zdawałem sobie sprawy z tak dużego zagrożenia. Myślałem, że jak mam antywirusowe oprogramowanie to jestem bezpieczny albo albo przynajmniej nie zagrożony az tak bardzo a tu takie coś. Wykasowałem z połowę aplikacji z s4 choc i tak zawsze staralem sie badziewia jakiegoś nie instalować. Po przejrzeniu programów zdębiałem jakie niektóre mają uprawnienia. Do tej pory pory sądziłem, że takie rzeczy są kontrolowane przez Google Play i wychwytywane w większości a tu taki numer.

Gamin (niezalogowany) 24.02.2014 22:54 #44

Najniebezpieczniejszą aplikacją (oprogramowaniem) jest sam Android który pozwala aplikacjom z Play na ,śledzenie ...może wykonywać zdięcia ,nagrywać rozmowy ,czytać sms,pobieranie prywatnych rzeczy i informacji ,mms-ów i kopiować kontakty .

Anonim (niezalogowany) 06.11.2014 19:10 #45

@as_rudy: Czy możesz podać nazwę tej aplikacji?

Anonim (niezalogowany) 06.11.2014 19:11 #46

@as_rudy: Czy możesz podać nazwę tej aplikacji?