Android Security

Sunt nou intr-ale androidului , vin de pe platforma Apple, unde aplicatiile erau verificate inainte sa ajunga la utilizatori.  Nu mica mi-a fost mirarea, cand am inceput sa imi caut aplicatii pentru Android, sa vad ca o aplicatie de setare a alarmei isi seteaza permisiuni sa vada contactele, sa trimita mail, full acces la Internet and shit. Din 4 aplicatii care seteaza alarma una singura seta DOAR dreptul de a scrie ps SD si ATAT.  Acelas lucru s-a intamplat si cu aplicatia COMPAS si alte cateva aplicatii simple si "FREE".

Ieri a aparut un articol despre o astfel de aplicatie care logheaza in timp-real ( adica live ) toate key strok - urile si le recupereaza. Cu alte cuvinte tot ce facem pe telefon, inclusiv parolele, este logat. Fucking seek. http://www.telegraph...key-stroke.html

Quote

1 Ce poti face sa iti protejezi intimitatea
2 Cum poti sa stii ce aplicatii comunica pe internet, cum pot sa setezi  ce aplicatii permiti sa comunice si cum( net , telefon, mail, sms etc...)?
3 Cum poti sa stii ca ceea ce te informeaza aplicatia la instalare este adevarat sau fals? ( Zice ca nu foloseste internetul si de fapt trimite tot ce ai pe telefon )

 opo, on 2nd December 2011, 15:59, said:

Este normal, daca aplicatia e mai complexa si manipuleaza eventuri in baza datelor de contact spre exemplu, permisiunile se extind. In rest multi descopera chestii de marketing si le interpreteaza ca fiind probleme de securitate mai ales daca se intampla in US ca se pare ca acolo este buba. Spre exemplu cand Google a preluat date despre localizarea retelelor wifi si inregistrarea macurilor lor multi au sarit ca domne ca de ce ca nustiu ce... pana sa se prinda ca de fapt sistemul era pentru noua functie a telefoanelor android de localizare dupa wifi...

Edited by andreic, 02 December 2011 - 16:07.

In curand vor iesi la iveala probeleme de securitate pe care le implica Andoid si Google. Deocamdata nu are nimeni interes sa dea vestea la share, dar in curand, se va afla. Abia astept.
Foloseste un soft pentru permisiuni si blocheaza toate aplicatiile suspecte, care mai fac si trafic de date in plus.

>andreic
O alarma (ceac cu sus) care sa citeasca contacte, full acces la internet?! Glumesti, nu?

Edited by YOUR_GOD, 02 December 2011 - 16:17.

aiurea rau. se poate scoate chestia asta, poate printr-un rom custom? unde e fisierul cu log-urile? opo, de ce ai venit pe android de la apple?

1 - urasc iTunes- sa ma suga Marul pentru cea mai proasta metoda de sincronizare.
2 - iPhone-ul 3G este incredibil de lent de la ultimul update, ori iPhone4 si iPhon4s au ba probleme cu reteaua bacu bateria...unde mai pui ca problema de la punctul 1 ramane in continoare.
3 -  Am ales un telefon cu durata a bateriei, greutate si aparat photo mai bune decat iPhone4. Desi diferenta de de 30g , la pantaloni scurti se simte cand il bagi in buzunar.

 YOUR_GOD, on 2nd December 2011, 16:04, said:

De ce nu... contacte cam orice aplicatie citeste pentru ca e o functie sistem, orice se leaga de email de ex automat face contacte sau o alarma de event personalizata care poate trimite email, asta este insasi filozofia google, integrare inter-aplicatie. Full acces a internet cere orice aplicatie care se updateaza fara suport de la market... banui ca nu prea le ai cu programarea ?

 rasistu, on 2nd December 2011, 16:38, said:

Este US boundled deocamdata (adica acolo unde operatorul poate face ce vrea legal), nu s-au depistat la telefoane for Europe... inca, sunt curios daca au aplicat treaba asta stiind ca in UE legile sunt mai stricte legate de prelucrarea datelor. Sistemul este localizat si probabil cere ca operatorul 3G sa suporte functia ca sa downloadeze statistica. Are fi bine sa verifice cineva care are interfata necesara ce functii se apeleaza la un telefon EU open.

Pe de alta parte in articol se sugereaza ca apple nu ar face asa si asta e suspect... lumea nu a auzit de "aprs-ul" lui apple ? Este pus la punct si inregistreaza orice traseu al telefonului, e chestie descoperitsa de mai bine de 8 luni si se stie si fisierul sistem in care datele sunt stocate Tot US evident... acu nu stiu daca Iphone for EU are asa ceva.
Cum vad ca lumea azi e pus pe descoperit chestii "noi" ia uitati aici ce face Apple: [ https://www.youtube-nocookie.com/embed/GynEFV4hsA0?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]

Sa va fie clar, in US TOTUL se inregistreaza nu conteaza ca vrei sau nu, nu ai nici o alegere, e obligatoriu.

Edited by andreic, 02 December 2011 - 17:36.

 opo, on 2nd December 2011, 15:59, said:

Nu te baza pe asta. Au fost destule cazuri cu aplicatii care nu respectau conditiile impuse de Apple, care au fost aprobate si eliminate abia cand lumea a inceput sa comenteze. Chiar zilele astea a fost vorba de o aplicatie de tethering, care chiar asa se si chema, care a fost aprobata si abia dupa cateva zile scoasa Desi de la bun inceput astfel de aplicatii au fost interzise.

Android e open-source, astfel poti folosi Cyagenmod daca nu ai incredere cu versiunea oferita de operatorul de telefonie.
http://www.cyanogenm...have-carrier-iq

 opo, on 2nd December 2011, 15:59, said:

Ghici ce? Pana nu demult aceasta aplicatie venea instalata direct si de Apple:  
http://www.zdnet.com...q-software/1250

"Apple confirmed that it had used the software in previous instalments of its iOS operating system, but no longer uses it in iOS 5. The Cupertino giant also confirmed that a fix would be issued soon to remove any trace of the software in previous releases."

 YOUR_GOD, on 2nd December 2011, 16:04, said:

Este vorba de granularitatea sistemului de permisiuni. E ceva de genul "Permisiunea A" = acces la agenda, email, calendar, "Permisiunea B" = acces la card, camera video, microfon, apeluri. Poate intre-timp au devenit mai granulare, insa cam asa era in urma cu cativa ani.

Daca eu vreau sa fac o aplicatie care ia o poza si o trimite prin email va trebui sa solicit permisiunile A si B, deci acces la agenda, email, calendar, card, camera, microfon, apeluri... desi n-am nevoie decat de camera si email.


Faptul ca Android e open-source ma face sa am incredere mai mare in el dpdv al securitatii, la fel cum am mai mar eincredere in Chromium si Firefox decat in Internet Explorer.

Edited by 12trei, 02 December 2011 - 17:28.

 12trei, on 2nd December 2011, 17:26, said:

Corect

 andreic, on 2nd December 2011, 17:09, said:

'Banuie'.
Hai, inca o data: sonerie cu nivel de acces foarte mare?! Adica, nu suna cu telefonul inchis, dar daca suna, trebuie sa aibe acces la cascaval. Made By Google.

 YOUR_GOD, on 2nd December 2011, 18:16, said:

Glumesti nu ? Adica e o problema ca alarma are acces la sonerie eventual cu nivel extraordinar de mare ? Si ma rog.. ce cascaval castiga aia cu soneria ?

Edited by andreic, 02 December 2011 - 18:25.

Neah..culmea, dar sunt cat se poate de serios. Pe Symbian, soneria cere nivel de acces zero. In afara de faptul ca se lipeste pe aplicatia navita, mai vine cu una-alta in plus, dar nu-ti cere permisiune pe niciun nivel al sistemului de operare, nimic. See the difference?

Si daca nu-ti cere permisiunea, tu deduci ca nu acceseaza acea functionalitate?  

Deocamdata, pentru Android nu au aparut decat troieni (programe care spun ca fac un lucru, dar in realitate fac ceva rau daca le dai drepturi de acces). La fel de vulnerabile sunt si iOS si Windows Phone, deoarece problema in acest caz e utilizatorul. Insa nicivorba de virusi. In schimb, pe Symbian... incepe de aici http://www.esato.com...hp?topic=187896


E ca si cum ai spune ca o incuietoare cu parola e nesigura, fiindca poti da parola cuiva (permisiunea de acces) si-ti fura tot din casa. Iar apoi recomanzi... sa legi usa cu o bucata de sfoara, deoarece nu e nicio parola pe care s-o dai unui hot, deci e mai sigura.

Edited by 12trei, 02 December 2011 - 21:51.

Exact asta e problema, Google s-a prins de treaba asta si acum ai parole unice pentru device-uri. Sa zicem ca am o parola meseriasa de 22caractere cu simboluri si alte cacaturi, pe care o folosesc in versiune usor modificata la mai multe conturi. Google imi da mai nou o parola de forma  _ccc_ccc_ccc_ccc  unde c- caracter. Cu ocazia asta baietii care-mi dreneaza telefonul de parole nu vor avea acces la contul meu de gmail. Din pacate problema ramane la alte conturi de mail sau daca ai un SecretVault unde iti tii parolele pentru diverse. In momentul in care iti populezi bd cu secrete pulele astea de cacanari care scaneaza ce faci retin ce introduci. Deci pana la urma decat cu un SmartPhone  ( fie el Android, WM, Symbian, iOs) tot mai sigur esti cu carnetelul dupa tine.  Unde mai pui ca daca iti fura cineva carnetelul e un hot de duzina pecand daca iti scot parolele din telefon ai cam pus-o cu bancile, forumurile, retelele de socializare etc etc...
De porc.
Revenind la intrebarile de mai sus, lasand la o parte faptul ca unii sunt superprogramatori si altii sunt simplii utilizatori, cum poti sa verifici ce drepturi au aplicatiile si/sau sa le retezi/resetezi aceste drepturi?

AT&T, Sprint Sued by Customers Over Carrier IQ Tracking Software

Io-te sincronicitate, se pare ca lucrurile incep sa miste, si utilizatorii sa dea in judecata cacatii care ii spioneaza.

Quote

 opo, on 3rd December 2011, 10:16, said:

Pai e normal sa se spumeze, cum si-au permis smecherii aia din California sa bage softuriel cerute de unii si altii probabil si de RIAA... ca incepe sa iasa la iveala smecheria

Primii care isi trag spuza pe turta dupa scandalul Carier IQ sunt cei de la CyanogenMod
CyanogenMod will never have Carrier IQ

Quote

Pentru cei interesati exista o aplicatie care scaneaza sistemul dupa aceasta infama aplicatie si o gasiti aici : Voodoo CarierIQ

Primii care isi trag spuza pe turta dupa scandalul Carier IQ sunt cei de la CyanogenMod
CyanogenMod will never have Carrier IQ

Quote

Pentru cei interesati exista o aplicatie care scaneaza sistemul dupa aceasta infama aplicatie si o gasiti aici : Voodoo CarierIQ

Se pare ca aplicatia este instalata cum am banuit de catre operatori americani AT&T, Sprint si T-Mobile deci legat de tipic, nu este nici un risc de securitate pentru OS in sine.

La mine nothing found, EU open lgp500.

Edited by andreic, 04 December 2011 - 17:03.