Androidos engedélyek a szőnyeg szélén

2014. január 13. 15:52 - Csizmazia Darab István [Rambo]

Többször is emlegetjük az Android biztonságát, és nem azért, mert nem szeretjük. A nyíltságnak - ami azért nem a teljes forrás kód nyitottságában mutatkozik meg ;-) - előnyei és hátrányai is vannak, és láthatóan igaznak bizonyultak az előrejelzések az Androidos kártevők, átverések, incidensek tekintetében, hogy a régi Windowshoz hasonlóan ez lesz-lett az Új Vadnyugat. Minden antivírus cég két számjegyű növekedésről számol be a 2013-as évben. Az hogy egy programot honnan telepítünk, mikre kér engedélyt, és hogy megnézzük-e egyáltalán, hogy mikre kér, nagyon is fontos kérdés.

A 2014-s jóslatok is foglalkoznak az Androidos veszélyekkel, és nem árt tudni, hogy az ide készült internetbiztonsági csomagok már jóval több dolgot tesznek, mint egy sima antivírus: spamszűrők is egyben, lopásgátló funkciókkal is rendelkeznek, és hasonlók. A kártékony alkalmazásokkal kapcsolatosan folyamatos hangsúlyozni szoktuk, hogy mindig vegyük a fáradtságot, és olvassuk el, mire kér engedélyt a telepíteni kívánt app. Ha túl kíváncsi, és a működéséhez józan ésszel végiggondolva egyáltalán nem szükséges - pl. SMS küldés, címjegyzékhez hozzáférés, fizetős hívások önálló indítása, és hasonló felhatalmazásokat is szeretne, gondolkodjunk, vagy akár inkább álljunk el az installtól, és keressünk másik alternatívát.

Igen sok esetben ugyanis a felhasználó figyelmetlenül maga engedélyezi a számára kártékony funkcionalitásokat, és akkor nincs miért csodálkoznia, ha aztán borsos árú SMS küldés vagy egyéb nemkívánatos jelenség van. A fejlesztők lustaságbol igen gyakran mindenfajta engedély kérést benne hagynak akkor is, ha a kódnak valójában nincs is rá szüksége, de a kártékony kódok, vagy az úgynevezett fremium játékok is gyakran lopják el a személyes adatokat, eladva azokat hirdetőknek, és nem mellesleg keményen rátenyerelve a hasznos hálózati sávszélességünkre.

Most egy SnoopWall Privacy Firewall nevű alkalmazás megjelenésével ismét terítékre került a túlburjánzó engedélyekkel kapcsolatos probléma a TheRegister hasábjain. Ez az új eszközkezelőként beépülő program képes arra, hogy folyamatos ellenőrzés alatt tartsa az engedélyeket, beleértve az olyan adatvédelmi, biztonsági szempontból kényeseket, mint a mikrofonunk távoli használata, a kameránk távoli ki-be kapcsolása, GPS pozíciónk és WiFi adataink továbbítása, SD adathordozónk írása, olvasása, formázása, címjegyzékünk harmadik féllel való megosztása, emelt díjas számok értesítés nélküli hívása, stb.

Megemlítik emellett azt az App Ops nevű korábbi hasonló alkalmazást - ami egyébként a klasszikus tűzfalakhoz hasonlóan rootolást igényelt - amely 4.3 és 4.4 alatt volt képes figyelni a meglévő, és változó engedélyeket, és még ki-be is engedte kapcsolni ezeket a jogosítványokat. A dolog pikantériája, hogy a korábban sokak - többek közt az EFF, Electronic Frontier Foundation - szimpátiáját is elnyerő igen hasznos feature-t a Google egy későbbi 4.4.2 frissítéssel váratlanul visszavonta, és mindezt azzal magyarázta, hogy csak valamilyen tévedés miatt került bele korábban ez a kísérleti funkció.

De nincs okvetlenül szükség külön alkalmazásra ehhez, nézzük meg például, mit nyerünk azzal, ha már eleve egy androidos biztonsági csomagot használunk. Ahogy említettük, ez már régen nem csak Symbianos időkből ismert puszta egylövetű antivírus, hanem rengeteg extra funkciót is tartalmaz. A teljesség igényével ezek a következők: valós idejű vírusvédelem, kéretlen alkalmazások keresése, heurisztikus védelem, ütemezhető ellenőrzés, SMS spam szűrés, MMS szűrés, hívásblokkolás, lopásgátló táv-lezárás, táv-törlés, eltávolítás védelem, SIM kártya azonosítás, GPS nyomkövetés, biztonsági diagnosztikai vizsgálat, és akkor ami miatt mindezeket felsoroltuk: a telepített alkalmazások auditálása.

Magyarán itt is rendelkezünk valamennyi kontrollal, például az ESET Mobile Security programban a biztonsági audit menüpont alatt tudjuk a telepített alkalmazások engedélyeit (monitors installed apps permission) figyelemmel kísérni. Végezetül azt is érdemes azért megjegyezni, hogy azon túl, hogy valóban nem mindegy, hogy egy programot honnan telepítünk, meg hogy mikre kér engedélyt, a trójaik korában a szoftverek telepítése egyre inkább bizalmi kérdés. Melyik az a gyártó, aki hosszú távon rászolgált a bizalmunkra, ki az aki számunkra megfelelő minőséget produkál - ezt kell nézni.

Ha megbízunk az antivírusgyártóban, azt várjuk el, hogy felelősséggel járnak el. Az ESET EMS-nél, de tulajdonképpen minden ilyen típusú védelmi szoftvernél ugyanúgy ott vannak ezek a kért kényes engedélyek, ami sokaknak elsőre esetleg ijesztő lehet. Ha azonban megnézzük azt is, miket tesz, vagy tehet a szoftver: letörölheti, vagy karanténozhatja a kártevőt, lopás esetén engedi nekünk, hogy egy jelszóval távoli SMS-sel letöröljük a tolvajnál lévő telefont, vagy csak lekérdezzük a lopott készülék GPS koordinátáját - akkor világossá válik, ezekhez kellenek a szükséges felhatalmazások.

Természetesen az is igaz, ha egy Noname Corporation vagy Gipsz II. Jakab által írt 128-ik dinnyeszeletelős játék koppintása kér hasonló, feleslegesnek és a program szempontjából indokolatlannal tűnő engedélyeket, akkor persze nem szabad ezt engedélyezni, és nem érdemes telepíteni. Visszatérve az App Ops-ra, magunk részéről éppen az ilyesfajta, az operációs rendszer által tartalmazott és részletesen szabályozott beállítási lehetőségeket tartanánk jónak és hiányoljuk most.

A legszuperebb az lenne, ha még fel is telepítettünk ilyen engedély halmozó appot, az "akcióknál" jönne a választási lehetőség: "engedjem neki", vagy "tiltsam neki", és emellett a "csak most egyszer" vagy "mostantól mindig" opcióval kiegészítve. De az appoknak ettől függetlenül természetesen működnie kellene, akár azon az áron is, hogy fusson homokozóban az SMS küldés, vagy kapjon valami letárolt kamu adatot: pl. GPS koordinátának Bázakerettyét esetleg Los Angeles Alsót - kb. ugyanezt teszi most a TMN, azaz TrackMeNot böngészőkiegészítő is a hamis referer megadásokkal. Most viszont App Ops mentesen, Android által gyárilag tartalmazott lehetőségek nélkül kb. egymilliárd felhasználó szív ennek hiánya miatt.

8 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr555756423

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Shopping 2014.01.14. 11:37:41

sztem ma már az ÖSSZES app mindenre engedélyt kér.
ha nem adod meg nem települ... :(

biododírium 2014.01.14. 13:22:52

Kik határozzák meg azt, hogy egy app mire kérjen engedélyt?
Az app tulaja vagy a google is beleszólhat?
Régebben próbáltam csak teszt jelleggel pl az IWIW-et. Ott is benne volt, hogy bármikor csinálhat fényképeket a teló kamerájával a tudtom nélkül.
Mire föl? Kinek fontos ez a lehetőség és miért?

Warlimont 2014.01.14. 14:11:08

@Shopping: Ha egy elemlampa app engedelyt ker a szemelyes adataidhoz meg GPS poziciohoz, akkor azert kuldd a pixaba... :)
Szamomra a nagyobb kerdes inkabb az, hogy mi van, ha nem is ker az app engedelyt, csak ugy hozzafer a dolgokhoz...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.01.14. 15:24:05

Szia Shopping!

Vannak azért permission friendly alkalmazások is, amelyek vagy semilyet nem kérnek, vagy csak azt, amire tényleg szükség van. Ha mindegyiknél ez lenne a helyzet, akkor nem is lenne gond. Ez a feljesztő sara, a Google nem kéri tőle, hogy tegyen bele minél többet, nem jár érte mennyiségi bónusz ;-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.01.14. 15:30:36

Hali biododírium!

Ha az ember utánéz, hogy az app miket tehet, nagyjából ki lehet következtetni, sok-e vagy kevés az engedély. És persze embere is válogatja, én például egy Facebook appot sosem használnék telefonról, míg másoknak ez természetes.

Egyetértek Warlimonttal, ha ordít róla, hogy feleslegenek látszó dolgokat akar, hagyni kell és keresni másik alkalmazást.

Egyébként nyilván ez az engedélyezősdi sok mindenről tehet, de azt is nézni kell, ha telepítéskor még nem akart semmit, bármelyik frissítéskor behúzhat új engedélyeket, amikre a Next-next-finish-hez szokott felhasználok egyetértenek.

Fejlesztők szerint egyébként ha valaki nagyon ért hozzá, úgy is lehet dolgokat csinálni, hogy nulla engedélyt kér látszólag.

Csiken Disztroly · http://youtu.be/ipFHAAR8H-A 2014.01.14. 15:35:10

Az "android biztonsága"-kifejezés egy oximoron.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.01.14. 15:37:07

Jó ötletnek tartanám amit a cikkben is írtam: az App Ops szerű teljeskörű engedély menedzsment, alaphangon biztosított feature, ami szerintem az OS fejleszőjének lenne a feladata,hogy ne mondjam kutyakötelessége ;-)

Az sem lenne utolsó, ha engedélyek alapján lehetne keresni a Google Playen, ha jól láttam, nincs még ilyesmi.

twollah / bRoKEn hOPe, sUppLeX · http://freewaresoftwarenews.blogspot.com/ 2014.01.14. 15:51:57

A legegyszerubb megoldas ha nem telepitunk minden szart a telefonra.
A fingos, bofogos,WiFi, mobilinternet gyorsitos, ingyen SMS kuldo, ujjlenyomat olvasos, vetkoztetos, falon atlato kamera programok mar eleve gyanusak.
Erdemes tovabba:
- azokat a programokat feltenni amit sokan hasznalnak.
- el kell olvasni a kommenteket, hogy masok milyen velemenyen vannak a programrol.
- kerulni kell a tort programokat, sose lehet tudni, hogy mikor rak bele valaki valami meglepetest.

Ha erdekel egy program akkor vegyuk meg es ezzel a fejlesztot tamogatjuk.
Ha megse tetszik akkor sincs veszve semmi, 15 percen belul visszakerhetjuk a penzunk.

Erdemes feltenni az AppSales programot, az akcios appokrol ertesit minket.
En igy szoktam bevasarolni.
Pl.: a 15 dollaros OfficeSuite Pro 7-et 99 centert vettem meg.
Es meg sorolhatnam tovabb a jo vetelnek tuno programokat amiket igy vettem meg.