AbcLinuxu:/ Zprávičky / Některé Android aplikace tajně odesílají pozici telefonu

Štítky: Android, Google, gps, hardware, Intel, sledování

Některé Android aplikace tajně odesílají pozici telefonu

Výzkum dvou amerických univerzit a Intel Labs ukázal, že některé aplikace pro Google Android potají odesílají informace o umístění telefonu provozovatelům reklamních sítí. Z vybraných 30 oblíbených aplikací tak činila celá polovina, některé dokonce posílaly souřadnice GPS každých 30 sekund, ačkoliv nebyl zobrazen žádný banner. Navíc ještě odesílají telefonní číslo. Nutno podotknout, že uživatel u každé aplikace při instalaci povoluje přístup k umístění, jen ale neví, k čemu to program využije.

1.10.2010 07:06 | Luboš Doležel (Doli) | Zajímavý článek

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

1.10.2010 07:46 arnor | skóre: 2 | blog: moje
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

To je sice hezké, ale mě by zajímalo, které to jsou.

A popravdě, kdejaká blbost chce oprávnění skoro na všechno, takže pokud chci nějaké rozumné aplikace, tak musím odklikávat.

1.10.2010 09:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Jo jo, takhle je to ve skutečnosti u většiny lidí se svobodou. Kdyby je přemlouvali, nutili, vyhrožovali jim, tak se vzepřou – někteří i dost silnému nátlaku. Ale jakmile někdo chce, tak prostě musí…

1.10.2010 09:50 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Úžasně řečeno.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

1.10.2010 11:50 arnor | skóre: 2 | blog: moje
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

no to je přece logické, že když něco chci, tak pro to musím něco udělat.

1.10.2010 13:30 danaketh | skóre: 6 | blog: Sick Mind | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Rozdíl je v tom co proto musíš udělat. K čemu potřebuje třeba kalkulačka přístup ke kontaktům nebo GPS? Ty přece taky neprojíždíš telefonní seznam nebo nekoukáš do mapy, když v obchodě kontroluješ účtenku :)

1.10.2010 14:31 arnor | skóre: 2 | blog: moje
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Rozdíl oproti čemu ?

No zrovna u kalkulačky je to snadné poznat, jenže třeba takový jízdní řád umí podle polohy nabídnout blízké stanice a když mu polohu nepovolím, tak jízdní řád nemám (a člověka taky hned nenapadne k čemu je jízdnímu řádu gpska). A je i spousta dalších aplikací, kde to nepoznám, jestli tu gpsku opravdu potřebuje nebo ne. A ten soft může klidně polohu aktivně využívat a zároveň někam odesílat, to už tuplem bez tcpdumpu nepoznám.

2.10.2010 15:18 danaketh | skóre: 6 | blog: Sick Mind | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

No, tak má aplikace fungovat jinak. Pokud chci aby mi to i nabízelo kde je zrovna kolem mé pozice zastávka, tak mu přístup k GPS na chvilku povolím. Pokud mě to nezajímá, tak bych měl mít možnost aplikaci používat aniž musel umožnit použití GPS.

Pokud aplikace vysloveně nevyžaduje nějakou funkci ke svému chodu (přehled SMS, hezčí seznam kontaktů, mail klient...), neměla by si přístup k ní vynucovat.

3.10.2010 14:21 arnor | skóre: 2 | blog: moje
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Rady jak by se někde, něco mělo dělat, mě dokáží akorát pobavit. Každý ví, jak by to mělo vypadat, ale že by někdo šel a něco doopravdy udělal, to ne.

2.10.2010 02:36 Michal
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Programy, ktere si na sebe vydelavaji reklamou integruji nejakou 3rd party reklamni knihovnu, ktera pristup k zjisteni pozice uzivatele vyzaduje kvuli lepsimu cileni reklamy. Nemam z toho radost, zejmena je blbe, ze nemohu overit jestli ty prava chce jen reklamni knihovna (u te alespon vim, ktera firma ji provozuje) nebo sama aplikace k necemu nekalemu.

2.10.2010 15:21 danaketh | skóre: 6 | blog: Sick Mind | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Napsat autorovi o verzi, která neobsahuje danou knihovnu s tím, že pošleš příspěvek třeba $50... Je asi nepravděpodobné, že by na to někdo přistoupil ale třeba by si autor aplikace řekl, že je lepší $50 hotově než čekat jestli něco dostane z reklamy.

1.10.2010 08:24 maddoxik | skóre: 10 | blog: maddoxikovo
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

Telefony s Androidem, tablety s Androidem, čtečky s Androidem, vše s Androidem... Zkázu Androidu!!!

1.10.2010 08:34 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Chladnička s mrazničkou s androidom, autosoftware s mrazničkou...

1.10.2010 08:39 ZeXx86 | skóre: 19 | blog: ZeXx86 blog | Orlová
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Spise tem vyvojarum co pisou takove aplikace ;)

ZeX/OS - http://zexos.org

1.10.2010 09:02 mikirc | skóre: 19 | blog: MikiSoft | Vsetín
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

ja bych rekl, ze to nebude vyvojari, ale tim kdo tu aplikaci vymysli. Vyvojar dostane koncept a podle toho snad musi delat ne? Za to je placeny.

Byl jednou jeden...

1.10.2010 08:46 mato
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

jo, a takto bude google vyzerat o par rokov

1.10.2010 10:31 Kaacz | skóre: 10 | Praha 4
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

No a proto chci radeji MeeGo (na kterem muze bezet i Android bytecode a timpadem jeho aplikace), kde neni problem si vlezt do toho Linuxovaho zakladu, pustit tcpdump a clovek hned vi co kam leze. Android ac otevreny, vlastne moc otevreny neni, protoze mi neumoznuje delat spoustu veci. Takze jsem se na nej vyignoroval.

Jsem uz moc stary na pouzivani windows .. / Optimismus je jen nedostatek informaci ..

1.10.2010 10:44 JoHnY2
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Souhlas. Android je takova klasika toho, ze otevreny zdrojaky nemusej znamenat otevrenej SW. Pevne doufam v uspecny MeeGo, uz kvuli pouzivani Qt a moznosti snadnejsiho portovani mezi Win, Lin, Symbian, MeeGo.

1.10.2010 11:14 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Android ac otevreny, vlastne moc otevreny neni, protoze mi neumoznuje delat spoustu veci.

napriklad?

4.10.2010 15:54 Sten
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

root

6.10.2010 17:49 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

# uname -a
Linux localhost 2.6.29-00479-g3c7df37-dirty #11 PREEMPT Mon Oct 26 21:28:09 PDT 2009 armv6l GNU/Linux

# id
uid=0(root) gid=0(root)

tak tohle zrovna problem neni, co dal?

1.10.2010 11:19 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

neni problem si vlezt do toho Linuxovaho zakladu, pustit tcpdump a clovek hned vi co kam leze

To samé mohu udělat i s Androidem, stačí mít root přístup (což jde pokud vím u všech telefonů, osobní zkušenosti mám ale jen s HTC).

Podobně mohu pomocí standardního iptables firewallu filtrovat přístup každé jednotlivé aplikace k Internetu (pokud k tomu chcete i GUI, pak třeba aplikace DroidWall).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

1.10.2010 14:50 Kaa
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

A na ten android linuxovy zaklad bez problemu dam jakoukoli beznou linuxovou utilitu ? nejsou v tom nejake hacky ? nebo tam je jen to co tam blahosklonne dovolil google a vic ani tuk ?

.. mam na mysli treba tcpdump apod ..

1.10.2010 15:47 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Ano, dáš tam jakoukoliv linuxovou utilitu. Je to normální plnohodnotný Linux, jen trochu osekaný a místo X serveru má vlastní GUI v Javě.

Já třeba normálně používám OpenVPN a přesměrovávám přes něj veškerou komunikaci. Existuje i oficiální Tor klient pro Androida. No a ty iptables už jsem zmiňoval výše.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

3.10.2010 10:40 Kaacz | skóre: 10 | Praha 4
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Krabicka, u ktere dela dodavatel buzerace s root pristupem, pro mne neni normalni linux. To at si strci nekam. To uz mi pripada jako hackovani iPhone OS. Takze nadale pro mne zustava prioritou MeeGo. Nokia s timhle na Maemo nikdy problemy nedelala.

PS: navic se mi nelibi, ze se vsechny Android aplikace defakto pisou znova pro ten Android(java) bytecode. Jsou tu stovky linuxovych aplikaci jiz hotovych a neni problem je pri-ohnout pro mensi displej a touch ovladani. Navic mluvime o Tabletu a ne mobilu, takze ten displej neni zas tak maly, defakto stejny jako u netbooku.

Jsem uz moc stary na pouzivani windows .. / Optimismus je jen nedostatek informaci ..

1.10.2010 21:46 pán tě vidí
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Stačí mít root přístup. A když pro můj model s Androidem není root hack? Jak tedy root získám?

2.10.2010 11:18 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

To pro nějaký mobil s Androidem ještě není root hack? Vždycky to trvá max. několik týdnů po vydání nového modelu, než se způsob získání roota publikuje (alespoň s HTC mám takovou zkušenost).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

2.10.2010 18:22 Petr Mach
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

No jestli je kvuli tomu potreba hackovat OS, tak je to asi nejlepsi dukaz sam o sobe, ze o neni otevrena platforma.

3.10.2010 10:41 Kaacz | skóre: 10 | Praha 4
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

+milion .. presne tak ..

Jsem uz moc stary na pouzivani windows .. / Optimismus je jen nedostatek informaci ..

3.10.2010 20:21 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

To záleží čistě na výrobci toho kterého zařízení, Android sám o sobě root přístup nikomu neupírá. Bohužel je to mezi výrobci smartphonů dnes takříkajíc tradice, že získání root přístupu neumožňují oficiální cestou. Také mě tohle hodně štve, to né že ne, ale za to nemůže Android. Stejným způsobem by mohli výrobci "uzavřít" libovolný jiný na Linuxu (či nejen na něm) založený OS.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

4.10.2010 15:56 Sten
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

HTC Legend. Pro něj není root hack už pěkně dlouho a když se náhodou objeví, Google to velmi rychle patchne. Hlavně don’t be evil

4.10.2010 21:34 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Je to HTC, takže určitě minimálně půjde odemknout bootloader pomocí Goldcard a pak není problém flashnout.

Ha, teď jsem to zkoušel zadat do Googlu a hned první odkaz přesně tohle radí ;-)

Opravdu složité :-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

1.10.2010 11:34 Michal Srb
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

(na kterem muze bezet i Android bytecode a timpadem jeho aplikace)

Jak? Snažil jsem se najít jak tohle udělat a nenašel jsem nic. (Jen nějakou vlastní implementaci Darvika pro Ubuntu, ještě raná alfa verze, která by v budoucnu mohla jít použít na MeeGu.)

1.10.2010 14:56 Kaa
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

No jiz z vyroby to obsahuje WeTab.

1.10.2010 11:34 vhor
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

Totéž dělají někté aplikace pro iPhone. Vůbec se mi to nelíbí, aplikace by aspoň při prvním spuštění o tom měla informovat uživatele. iPhone žádá o schválení přístupu k gps pro aplikaci až v okamžiku, kdy to aplikace potřebuje, takže je to docela nápadné. Bylo mi podezřelé k čemu to ta hra chce, tak jsem si odchytal komunikaci po síti a trochu se v tom pošťoural.

1.10.2010 14:37 Martin Soušek
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

Je jasné, že bezpečnost na Androidu je jen pro srandu králíkům. Neznalým uživatelům se předhodí nějaká "bezpečnostní" obrazovka, kde on klikne na OK a jede se dál!

Když něco uživatel instaluje, tak to asi chce, takže odklikne i kdyby tam bylo napsáno "rozpoutat třetí světovou". To je zvyk z Windows, kde různých obrazovek k odklepnutí jsou mraky a uživatel odklepne cokoliv.

Kdyby vývojáři za něco stáli, tak s tímto počítají a jednak by bezpečnost byla jemnější (tj ne "aplikace může hrabat na SD kartu", ale třeba "aplikace může hrabat na SD kartu ve svém adresáři"). Stejně tak ne "plný přístup na net", ale třeba jen "plný přístup na adresu www.blabla.com".

Stejně tak by instalace měla být udělaná tak, že aplikace si řekne, co chce dělat, ale uživatel by měl mít možnost jí to pozakazovat. Takže aplikace by třeba chtěla GPS a plný net a já bych jí třeba GPS zakázal. Pokud by při jejím provozu chtěla pozici, tak by se jí předhodila pozice smyšlená, případně by funkce skončila chybou NELZE_ZJISTIT (tj stejně jako když je uživatel mimo signál). Programátor musí takové chyby beztak mít ošetřené.

Komunita by mohla udělat určité seznamy práv (jako má třeba adblock), takže běžný uživatel by hned při instalaci viděl, co mu komunita radí pro tu kterou aplikaci jako doporučené nastavení. Takže třeba hra piškvorky by určitě nedostala GPS práva.

Jenže bohužel Android vývojáři se nezamysleli a hodili mezi lidi nesmysl. Opravdu si někdo soudný myslel, že obyčejný uživatel bude zkoumat co po něm aplikace chce a v případě nesouhlasu by ji neinstaloval? Jestli si to někdo fakt myslel, tak musí být ŠÍLENEC!

1.10.2010 14:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Když uživatelé bez přemýšlení odkliknout „přístup k internetu“, nad „přístup k www.blabla.com“ by přemýšleli? Ostatně na té adrese www.blabla.com může běžet proxy, který aplikaci stejně dovolí přístup kamkoli.

To dodatečné zakazování taky nechápu. Pokud je třeba přístup k poloze volitelná funkce, může se udělat jako plugin, který např. aktivuje příslušnou položku v menu. Pokud je to stěžejní funkce, nemá smysl dodatečně tu funkci v aplikaci vypínat, to můžete rovnou vypnout celou aplikaci.

Jenže bohužel Android vývojáři se nezamysleli a hodili mezi lidi nesmysl. Opravdu si někdo soudný myslel, že obyčejný uživatel bude zkoumat co po něm aplikace chce a v případě nesouhlasu by ji neinstaloval? Jestli si to někdo fakt myslel, tak musí být ŠÍLENEC!

Jak si to představujete jinak? že to bude zkoumat Apple? To se spoustě lidí nelíbí ještě víc…

1.10.2010 15:59 JeChW
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Máte oba dva zajímavé postřehy a myšlenky. Taky vidím práva aplikací u Androidu jako velký problém. Většina programů žádá naprosto podivná práva a já buďto můžu ty programy neinstalovat a nebo to risknout, a věřit, že mi nijak škodit nebudou.

Je to do značný míry daný tím, že Android v marketu nerozlišuje demo, adware, shareware, freeware a opensource. Pokud si dám vyhledat free aplikace, najde mi to v této kategorii všechny tyhle, přičemž adwaru je možná víc než půlka. Ten samozřejmě žádá přístup k internetu.

Já tedy vidím řešení v následujících krocích: 1) Rozdělit detailně kategorie aplikací (klidně nechat současnou volbu zdarma/placené pro diletanty, ale umožnit pokročilejší výběr licencí) 2) Umožnit u každé aplikace, aby šla nainstalovat, ale s tím, že přístup k určitým datům jí prostě nepovolím 3) Vyžadovat, aby vývojáři u každé položky (internet, GPS, karta, kontakty) vysvětlili uživateli, proč k ní požadují přístup

To by podle mě pomohlo. Pokud by potom aplikace daná práva používala k něčemu jinému, bylo by možné jí za to vyhodit z marketu a nebo dokonce žalovat jejího autora.

1.10.2010 16:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Zrovna u toho vysvětlení práv mne včera napadlo, že je škoda, že to vývojář případně musí napsat do nějakého popisu, místo aby to napsal rovnou do definičního souboru a Market to při instalaci zobrazil spolu s požadavkem na práva.

Taky by asi pomohlo, kdyby se vývojáři naučili víc používat systém knihoven, komponent, pluginů nebo jak to nazvat. Aplikace pro Android se pořád píšou dost stylem „jednoúčelových aplikací“, jaký se používal u jiných systémů pro mobilní telefony nebo PDA. Přitom to má ale Android docela dobře vymyšlené, a tam, kde se to používá, to vypadá docela dobře – třeba Locale, Barcode Scanner nebo různé komponenty od Google. Vždyť třeba aplikace pro hledání v jízdních řádech nepotřebuje mít přístup ke kalendáři nebo poloze, ale může udělat propojku na plugin, který bude umět nalezený spoj uložit do kalendář a jiný plugin, který dodá seznam předvybraných zastávek. Třeba rovnou s tím pak napíše autor plugin, který ten seznam vytvoří podle aktuálního místa (a jen ten plugin bude požadovat přístup k GPS), ale někoho jiného pak napadne udělat třeba plugin, který si ten seznam zastávek stáhne z Google Docs nebo jiný, který se podívá do kalendáře, kde je příští naplánovaná událost. Paranoik by si ty „zvědavé“ pluginy neinstaloval, a ostatní by měli aplikaci, která umí víc, než původně autor zamýšlel.

Myslel jsem, že aplikace zobrazující reklamu používají nějakou „systémovou“ komponentu (dodanou Googlem), a pak by přístup k internetu měla mít tahle komponenta, aplikace jej pak (snad) nepotřebují.

1.10.2010 16:51 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Podle mne základem přístupu k aplikacím je systémový firewall pro odchozí komunikaci. Kde musím mít windowsy pracovně nebo na fotky, tak všude mám Kerio Firewall, který mě upozorní když nějaká aplikace chce komunikovat ven. To považuji za optimální, rozdělí se tím aplikace na prověření (vím kam se připojují a chci to), zakázané (vím kam se připojují a nechci to) a zatím neprověřené potvrzuji jim každé jednotlivé spojení. XM tady sice psal že mohu používat iptables, to je pro 99% lidí neschůdné. A měl by to tam zařadit autor tedy Google.

V linuxu je nebezpečí "zlých" aplikací řádově menší, protože otevřenost kódu všech komponent dává vidět do toho, co je napsáno a co se děje a i když by někdo chtěl tam propašovat kód, který bude něco tajně dělat má malou šanci na úspěch. Možná tak nějaké pluginy do prohlížečů. Takže dobrý firewall na odchozí komunikaci a bude po problému, tedy kromě u těch kteří povolí všechno. I ta granularita by mohla být lepší než u Kerio, protože by se mi líbilo, když bych skutečně mohl nastavit aplikaci, že povoluji pouze komunikaci na dané místo.

1.10.2010 17:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Velká část toho, co popisujete, je jen iluze bezpečnosti. Pokud aplikace komunikuje s internetem, je až na nepodstatné výjimky jedno, zda jí povolíte komunikovat s jednou adresou, nebo s čímkoli – ta jedna adresa bohatě stačí. Pokud aplikace chce s něčím komunikovat a neměla by, aplikaci bych to nezakazoval, ale rovnou bych ji odinstaloval – pokud autorovi té aplikace nevěřím, nebudu mu věřit ani to, že mi jeho aplikace nezformátuje disk nebo se nepokusí komunikovat nějakým jiným pokoutným způsobem. Takže ten „dobrý firewall odchozí komunikace“ se ve skutečnosti redukuje na otázku, zda aplikace může využívat internetové připojení nebo ne – a to už je teď v Androidu ošetřeno.

2.10.2010 06:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Takže ten „dobrý firewall odchozí komunikace“ se ve skutečnosti redukuje na otázku, zda aplikace může využívat internetové připojení nebo ne

A řeší ten firewall problém, který tu už někdo (vy?) kdysi zmiňoval? Totiž že ta aplikace může spustit „prověřenou“ aplikaci s povoleným přístupem k Internetu (wget) a ten jí požadovaná data může odeslat v HTTP požadavku a výstup vrátit na standardní výstup. Řeší tohle vůbec nějak SELinux?

2.10.2010 09:45 vanous
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Ten problém je asi velmi jednoduchý a možná pro uživatele linuxu nezvyklý - máme aplikaci (na "linuxovém" telefonu) a k té nemáme kód, ta aplikace evidentně něco dělá a já nevím co.

Mám možnost začít sniffovat kolem co se děje, nebo si otevřít zdroják a podívat se rovnou. Protože druhá možnost nepřichází často v úvahu a my, uživatelé jsme již zvyklí vědět co se děje, byli jsme tímto vráceni o notnou řádku let zpět k uzavřenému kódu.

Proto existují organizované snahy o vytvoření open driverů k telefonům. SHR, původně a stále převážně freerunerovská distribuce dnes již podporuje Neo 1973, Neo Freerunner, G1, dělá se na n900, PalmPré, Geekphone... P.

http://shr-project.org/

http://openmoko.cz/

2.10.2010 15:54 Pavel Stárek | skóre: 43 | blog: Tady bloguju já :-) | Kolín
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Zrovna u toho vysvětlení práv mne včera napadlo, že je škoda, že to vývojář případně musí napsat do nějakého popisu, místo aby to napsal rovnou do definičního souboru a Market to při instalaci zobrazil spolu s požadavkem na práva.

Programátor aplikace pro Android nepíše požadavky na oprávnění aplikace do "nějakého popisu", ale nýbrž do souboru AndroidManifest.xml který je součástí zdrojového kódu aplikace a instalátor aplikací v telefonu si tyto informace vytáhne a nabídne uživateli jejich potvrzení. Někteří (slušní) vývojáři do popisu aplikace který se zobrazuje v Marketu píší, proč chce aplikace to a to povolení.

Kdo chce, hledá způsob; kdo nechce, hledá důvod.

3.10.2010 20:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Přesně o tom jsem psal. Slušný vývojář napíše do popisu aplikace, proč požaduje nějaké právo. Logičtější by bylo, kdyby to mohl napsat rovnou do toho AndroidManifest.xml. Tam by pro systém napsal jaké právo chce, a pro uživatele by tam popsal, proč ho chce – a uživatel by si to při instalaci mohl přečíst.

2.10.2010 16:45 Dusan | skóre: 23 | blog: Moje_trable_s_internetom
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

"Taky by asi pomohlo, kdyby se vývojáři naučili víc používat systém knihoven, komponent, pluginů nebo jak to nazvat."

Myslíš ako sa to robí štandardne v linuxu(aspoň malo by sa robiť :-)

). A v OSS free softvéry? Načo niečo písať viackrát keď existuje jedna alebo pár libiek čo svoju prácu robia dokonale a sú odkontrolovateľné.

Takže android je krok späť. Asi si ho nekúpim Aj keď som ho dosť chcel, ale nakoniec nie. Škoda že nevyšiel Neo Freerunner (s 1Ghz dvojjadrový Cortex A9 s 1GB ram).

1.10.2010 18:04 Martin Soušek
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Proxy tam sice běžet může, ale přesto jemnější granularita práv řeší mnoho problémů. Přístupy z jeho jediné proxy už nejsou tak anonymní, jako když přistupuje z tisíců klientských zařízení. Pokud autor aplikace udělá nějaký průser a doména se zablokuje, tak se nemůže operativně přesunout jinam.

Android je pro mě ukázka špatného návrhu bezpečnosti. Ani s dnešními znalostmi a zkušenostmi nejsou vývojáři schopni navrhnout neprůstřelný bezpečnostní model. To co předvádí Android je jen takové pozlátko rádoby bezpečného systému.

1.10.2010 18:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Co autorovi brání požadavky z proxy dál směrovat přes tisíce dalších zařízení? Pokud někdo pečlivě filtruje odchozí komunikaci, zkoumá také každý DNS dotaz? Pokud autor aplikace udělá nějaký průser, je potřeba zablokovat hlavně tu aplikaci – tím se problém vyřeší, ne tím, že budete shánět správce domény z nějaké Tramtárie.

Android možná nemá excelentní návrh bezpečnosti, ale pořád je nesrovnatelně lepší, než model bezpečnosti Windows firewallů, jejichž kvalita se posuzuje podle toho, kolik okýnek s nesmyslnými dotazy dokáže na uživatele vychrlit.

2.10.2010 19:00 danaketh | skóre: 6 | blog: Sick Mind | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

No pozor, firewall ve Windows 7 je náhodou kvalitní. Aplikace si mohou samy rozhodnout, zda se bez vědomí uživatele přidají na whitelist nebo ne a ikdyž explicitně aplikaci povolíte obousměrný provoz v síti, tak ji firewall často stejně raději blokuje :)

Toohle mi dělají hry, které jednou na Games for Windows... Samy si vrazí výjimku do firewallu (a to i když je UAC nastaveno na paranoiu). Ale když jsem chtěl aby firewall nechal procházet komunikaci hernímu serveru, tak jsem nakonec musel povolit pro ten proces naprosto vše, aby komunikace prošla (ikdyž v Linuxu mi stačí mít povolené TCP na jeden port).

2.10.2010 18:39 Petr Mach
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Android je zalozen na linuxu a to co chcete imho linux numi. Nebo jak v linuxu nastavim, ze jeden firefox muze jen na tuto stranku a jiny zase jen na jinou?

2.10.2010 18:54 danaketh | skóre: 6 | blog: Sick Mind | Praha
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

A proč by to nešlo? :) Buď to bude vnitřní řešení na bázi nějakého FF add-onu (podle aktivního profilu) nebo (pokud má každý uživatel vlastní FF v ~/) tak podle uživatele a nebo podle toho, odkud je proces FF spuštěn.

6.10.2010 22:39 Pavel Stárek | skóre: 43 | blog: Tady bloguju já :-) | Kolín
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

Jinak, na druhou stranu jsem rád, že Google a komunita kolem AOSP nenaprogramovali takové věcičky, které má (měl?) například Symbian 3rd a vyšší. Tedy povinné podepisování aplikací jakýmsi certifikátem (schváleným Nokiou), aby šlo aplikaci vůbec nainstalovat a mohla mít udělená oprávnění (lézt do filesystému, používat síť apod.) V některých verzích Symbianu to sice šlo "vypnout" (obdoba Androidího "Neznámé zdroje"), ale za cenu toho, že například program typu "správce souborů" se sic správně nainstaloval, ale nedostal se např. do systémových složek. To se pak musely telefony Nokia všelijak hackovat aby se vůbec ta kontrola podepsanosti instalačních sisx dala vypnout. Ovšem pak Nokia vydala update FW a šup, uživatel byl opět tam kde je.

Můj názor na to je, že výrobce má v podstatě dvě možnosti: pro lidi kteří chtějí telefonovat a provozovat všechny ostatní úkoly, které se typicky s MT dělají nechť výrobce vyrábí MT s uzavřeným systémem (S40, TouchViz, Brew) + Java ME.

A pro ty co jsou hračičkové nechť vyrábí MT s operačním systémem, ale ať nekladou omezení v tom, co si s ním bude uživatel dělat. Ovšem měla by zde být možnost, uvést systém do stavu, jako před prvním zapnutím i za cenu ztráty dat uživatele (kousek nějaké flash paměti by rozhodně cenu telefonu nenavýšil o horentní sumy).

Jinak se mi líbí že na Androidu nainstaluji aplikaci odkudkoliv (z karty apod.). Když si vzpomenu, jaké byly obstrukce s instalacemi aplikací například do Samsungu STAR (dokud tedy nebyla objevena metoda HTML souboru)...

Kdo chce, hledá způsob; kdo nechce, hledá důvod.

4.11.2018 10:16 Tenga
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Odpovědět | Sbalit | Link | Blokovat | Admin

To je opravdu zajímavé. Jsem absolutní laik co se týká telefonů a jsem majitelem starého krámu s tlačítky. Ale všude co jsem si četl, tak se Android vychvaluje kvůli tomu, jak je otevřeným systémem i o několik let později.

https://www.arecenze.cz/mobily/ Pokud to je na úkor toho, že krade uživatelům data, tak je to opravdu zajímavá výhoda :D.

17.1.2019 16:52 KarelB
Rozbalit Rozbalit vše Re: Některé Android aplikace tajně odesílají pozici telefonu

Moc tomu nerozumím, tak jsem trochu zagogloval a všude píší, že sice android je otevřený, ale právě ta zranitelnost je vysoká. Proto uvažuji nad koupí Applu, kde to "nabourání" tak jednoduché není. Tady píšou Andorid vs. IOS: https://www.testado.cz/antivir-mobilni-telefon/ Taky zvažuji nějaký ten antivir do telefonu, moc nestojí a pro mě by snad význam mohl mít.

Založit nové vlákno • Nahoru