Android Farsímaforrit Misbehavior

Öryggisveikleikar og njósnaforrit eru nú alvarlegt vandamál fyrir snjallsímanotendur.



Trójusnákur: Android app sem heitir Tap Snake situr uppi sem saklaus leikur, en hægt er að nota það til að rekja óafvitandi notendur í gegnum GPS. Þessi skjár sýnir þær heimildir sem hann þarfnast.

Í júlí, til dæmis, tilkynnti Citigroup að farsímabankaforritið fyrir iPhone vistaði trúnaðarupplýsingar á óviðeigandi hátt - þar á meðal reikningsnúmer notandans og PIN-númerið hans - ódulkóðuð í falinni skrá sem hægt væri að nálgast með öðrum forritum sem keyra á iPhone notandans. Reikningsnúmerin og PIN-númerið voru einnig afrituð á borðtölvu notandans þegar iPhone var samstilltur.





Hlutirnir eru heldur betri á Android vettvangi Google þökk sé undirliggjandi öryggislíkani stýrikerfisins. iPhone forrit fá fullan aðgang að gögnum hvers forrits. En Android forrit verða að tilgreina hvaða heimildir þau þurfa. Heimildir geta falið í sér möguleikann á að fá aðgang að færslunum í heimilisfangaskrá notandans, til að ákvarða staðsetningu tækis með því að nota GPS og hringja símtöl. Heimildir eru staðsettar í sérstakri skrá og sýndar þegar forritið er sett upp; þau eru einnig sýnileg á stjórnborði Android forritsins. Android styður eins og er 114 mismunandi heimildir, sem þú getur séð á vefsíðu þróunaraðila .

Leyfikerfi Android kemur ekki í veg fyrir að forrit steli gögnunum þínum eða framkvæmi aðrar skaðlegar aðgerðir – það gerir það einfaldlega auðveldara að finna forritin sem taka þátt í þessu starfi. En það verður æ ljósara að þetta er ekki alltaf nóg.

Í júlí síðastliðnum, til dæmis, uppgötvuðu vísindamenn að ókeypis veggfóðursforrit fyrir Android sem heitir Jackeey safnaði persónulegum upplýsingum, þar á meðal símanúmerum notandans, talhólfsupplýsingum og símafyrirtækisgögnum, og sendi þær á vefsíðu í Kína. Síðan í ágúst kom í ljós að ókeypis leikur sem heitir Tap Snake er í raun tæki til að fylgjast með leynilegu staðsetningu einstaklings. Tap Snake keyrir sem bakgrunnsþjónusta og sendir staðsetningu síma á vefsíðu; sá sem setti leikinn upp á þeim síma gæti síðan fylgst með staðsetningu símans með öðru forriti sem heitir GPS Spy.



Tap Snake brýtur ekki í bága við Android öryggislíkanið: forritið krefst getu til að keyra sem þjónustu, fylgjast með GPS staðsetningu og hafa samskipti á netinu. En það eru tvö vandamál með Android öryggislíkanið. Í fyrsta lagi er nákvæmni: þó að Android forrit þurfi að segja notandanum hvaða heimildir þeir nota, þá útskýrir það ekki hvað forritin gera í raun við þessar heimildir. Annað vandamálið er þátttöku: líkanið krefst þess að einhver noti þessar upplýsingar og taki ábyrgð á öryggi notandans.

dýpsta köfun í hafinu

Athugun á nokkrum Android öppum undirstrikar þetta mál. Fyrir nokkrum vikum var mér mælt með forriti sem heitir Rare Black Wallpapers sem leið til að spara rafhlöðuna. Ég tók eftir því að appið krafðist þess að hægt væri að breyta eða eyða innihaldi SD-korts, fullan aðgang að internetinu og getu til að lesa stöðu og auðkenni símans míns. Undrandi sendi ég tölvupóst á Hero Planet, fyrirtækinu sem afhendir þetta forrit, og spurði þá hvers vegna þessar heimildir væru nauðsynlegar. Hero Planet svaraði aldrei, svo ég fjarlægði forritið.

Sömuleiðis þarf forritið Salamander eBook Reader fyrir Android heimildir til að ákvarða líkamlega stöðu þína, fá fullan netaðgang og lesa stöðu og auðkenni símans. Ég sendi tölvupóst á Feel Social, útgefanda, en fékk ekkert svar. Vefsíða Feel Social lítur út fyrir að hafa verið yfirgefin og enginn svaraði síma fyrirtækisins þegar ég hringdi. En appið er enn á Google Marketplace; hvað er þetta app að gera við GPS upplýsingarnar mínar og fullan netaðgang? Ég fjarlægði það líka.

Annað forrit sem krefst meiri heimilda en ég taldi viðeigandi er Documents to Go, forrit sem gerir mér kleift að lesa Microsoft Office skrár með Android símanum mínum. Þetta forrit krefst ekki bara getu til að lesa og skrifa á SD-kort símans, heldur einnig fullan internetaðgang og getu til að lesa stöðu símans og auðkenni. Það byrjar líka sjálfkrafa þegar síminn ræsir. Ég sendi DataViz, höfundi forritsins tölvupóst, og í þetta skiptið fékk ég svar.



Laura Caiafa, tækniaðstoðarstjóri hjá DataViz, skrifaði til baka og sagði mér að Documents to Go á Android krefst þess að geta lesið auðkenni símans vegna þess að það tengir vöruskráningar við IMEI/MEID númer símans (eins konar raðnúmer). Að auki athugum við netkerfi símans fyrir reiki áður en notanda er leyft að skrá sig, sem krefst einnig þessa leyfis.

Fullur netaðgangur er nauðsynlegur til að skrá forritið (sem Documents to Go gerir beint, frekar en í gegnum vafra). Að lokum byrjar forritið uppsetningu þegar kveikt er á síma.

Eitt vandamál við þessa handvirku könnunaraðferð er að hún er ótrúlega tímafrek. Annað vandamál er að þú getur ekki sagt hvað síminn er að gera með þessum heimildum – er hann að senda trúnaðargögnin mín til glæpamanna, notar hann stöðu mína og internetaðgang til að sýna mér staðsetningartengdar auglýsingar, eða er það bara að skrá mína forrit svo ég geti fengið ókeypis uppfærslur?

Vinnulausn á þessu vandamáli verður kynnt á miðvikudaginn kl Usenix málþing um hönnun og innleiðingu stýrikerfa (OSDI) í Vancouver, Kanada. Forritið, sem kallast TaintDroid, notar nálgun sem kallast gagnamerking eða litun til að fylgjast með flæði persónulegra upplýsinga í gegnum Android síma sem er í gangi.

TaintDroid var þróað af vísindamönnum við Pennsylvania State University, Duke University og Intel Labs og var hannað til að greina 30 mismunandi Android forrit. Rannsakendur gerðu mjög áhugaverðar uppgötvanir. Til dæmis, þó að 21 af 30 forritum hafi þurft leyfi til að lesa stöðu símans og leyfi til að hafa samskipti yfir internetið, sendu aðeins tvö af forritunum símanúmer tækisins eða einstaka kóða til ytri netþjónsins. Einn af þessum sendir upplýsingarnar í hvert sinn sem síminn ræsir sig - gerir þróunaraðilanum kleift að vita hversu margir símar eru með appið uppsett, en brýtur einnig gegn friðhelgi einkalífs hvers notanda á ansi verulegan hátt.

Rannsakendur skrifa í grein sinni að helmingur forritanna sem þeir fylgdust með hafi sent staðsetningargögn notandans til auglýsingaþjóna þriðja aðila án þess að krefjast óbeins eða skýrs samþykkis notenda - það er að segja án þess að upplýsa þessa staðreynd í notendaleyfissamningi forritsins. Í sumum tilfellum voru staðsetningargögn send til auglýsingaþjóna jafnvel þegar engin auglýsing var birt í forritinu. Hægt er að hlaða niður greininni frá rannsakendum vefsíðu .

Sumir fréttaskýrendur kunna að halda því fram að OSDI blaðið sé enn frekari sönnun þess að stefna Apple um að kanna hvert forrit handvirkt í forritaversluninni sé betri en Android stefnan. Sannleikurinn er sá að við vitum bara ekki hversu mörg forrit sem eru falin í Apple App Store stela persónulegum upplýsingum vegna þess að það er engin auðveld leið til að endurskoða getu forrita sem hægt er að hlaða niður. Endurskoðunarferli Apple metur ekki frumkóða forritsins, þannig að það væri mögulegt fyrir illgjarn verktaki (eða jafnvel einn forritari innan forritaþróunarfyrirtækis) að lauma einhverju í gegn. Að minnsta kosti með Android reynir stýrikerfið að koma í veg fyrir að forrit fái aðgang að gögnum hvers annars og noti internetið nema þau óski eftir því leyfi.

Annar þáttur í þágu Android er notkun þess á Linux stýrikerfinu, þar sem allur frumkóði er fáanlegur. Rannsakendur Penn State, Duke og Intel gætu þróað TaintDroid vegna þess að það er tiltölulega auðvelt að komast undir hettuna á Android og setja upp nauðsynlega virkni. Þó að það gæti verið hægt að ná sömu árangri á iPhone, þá væri öfugþróunarferlið verulega erfiðara.

En upplýsingar um lélega hegðun forrita duga ekki til að veita Android notendum öryggi. Notendur skortir einfaldlega árvekni og þekkingu til að nýta sér upplýsingarnar sem Android veitir. Nema Google setji sér reglur til að vernda friðhelgi farsímanotenda sinna, mun í auknum mæli líta á Android sem kerfi sem er þjakað af öryggisvandamálum, jafnvel þótt raunveruleg ástæða þess sé sú að við höfum betri hugmynd um hvað er að gerast á Android en á öðrum snjallsímapöllum.

fela sig

Raunveruleg Tækni

Flokkur

Óflokkað

Tækni

Líftækni

Tæknistefna

Loftslagsbreytingar

Menn Og Tækni

Silicon Valley

Tölvun

Mit News Tímaritið

Gervigreind

Rými

Snjallar Borgir

Blockchain

Eiginleikasaga

Alumni Prófíll

Alumni Tenging

Mit News Lögun

1865

Mín Skoðun

Messugötu 77

Hittu Höfundinn

Prófílar Í Rausnarskap

Sést Á Háskólasvæðinu

Alumni Bréf

Fréttir

Kosningar 2020

Með Vísitölu

Undir Hvelfingu

Brunaslanga

Óendanlegar Sögur

Tækniverkefni Heimsfaraldurs

Frá Forseta

Forsíðufrétt

Myndasafn

Mælt Er Með