Aki okostelefont használ, szinte biztosan telepít külső alkalmazásokat, hiszen a legtöbb okostelefon-felhasználó ezért választ ilyen készüléket. Nem árt azonban óvatosnak lennünk ezen szoftverekkel, mivel a telefon még több érzékeny információt tárol rólunk, mint a számítógépünk – hogy mást ne mondjunk, a telefonunk többnyire velünk van, tehát egy felső-középkategóriás, GPS-szel felszerelt telefon által jól követhető a mozgásunk. Vannak persze különféle védőbástyáink. Egyrészt a kockázatok minimalizálása érdekében a készülékek operációs rendszerét gyártó cégek (pl. az Apple és a Google) a saját piacterükön levő alkalmazásokat ellenőrzik rosszindulatú kódok után kutatva. A másik, picit kézzelfoghatóbb védelem az alkalmazásjogosultságok rendszere: mielőtt Android rendszeren egy alkalmazást telepítünk, megnézhetjük, hogy az milyen funkciók (pl. GPS használata, internethozzáférés, címjegyzék írása-olvasása) használatára kér engedélyt. A rendszer azonban nem tökéletes; itt jön a képbe az AppFence projekt.

A jogosultságokkal alapvetően az a baj, hogy ultimátumot adnak nekünk. „Kell a program, vagy nem kell? Ha kell, akkor elfogadod, hogy ehhez és ehhez a funkcióhoz hozzáfér.” Ha egy alkalmazás hozzáférést kér az internethez, akkor előfordul, hogy hirdetéseket tölt le, és eközben elküldi a telefon egyedi azonosítóját és helyzetét is. Az így begyűjtött információk alapján a hirdető profilírozhatja a felhasználót, és – a kapott helymeghatározási jogosultságoktól függően – gyakorlatilag lépésről lépésre követheti a világban.

Az AppFence egy prototípusalkalmazás, amely a bináris döntést szabályozhatóvá változtatja azáltal, hogy blokkolhatóvá teszi a kommunikációs csatornákat az alkalmazás számára, és hamis adatokat szolgáltat számára. Ez nagyon sok szituációban jól jöhet. Képzeljük el, hogy keresünk egy ébresztőóra-alkalmazást, de gyanúsnak találjuk, hogy az szeretne kijutni az internetre. Ilyenkor egyszerűen blokkolási listára tehetjük, és nyugodtan alhatunk (és reményeink szerint ébredhetünk is :) ). Ha azonban például egy hírolvasó program kíváncsi a telefonszámunkra, akkor nem rekeszthetjük ki az internetről, hiszen ezzel működésképtelenné tesszük az alkalmazást. Ilyenkor jön jól az AppFence másik funkciója: beállíthatjuk, hogy a program csak az általunk megadott, hamis telefonszámot ismerhesse meg, ezzel kiküszöbölve egy újabb személyesadat-szivárgási forrást.

Meg kell jegyeznünk, hogy már az AppFence előtt is léteztek olyan programok, amelyekkel szerkeszthettük az alkalmazások telepítőcsomagjait, így a beléjük csomagolt, jogosultságokat tartalmazó fájlt is. Azonban ez a módszer egyrészt nem tette lehetővé hamis címjegyzék, telefonszám stb. emulálását, másrészt egyáltalán nem volt triviális művelet egy átlagfelhasználó számára, hiszen a sokak számára idegen parancssoron kellett „bűvészkedni”: egy konzolos alkalmazással ki kellett csomagolni a telepítőt, majd a jogosultságok korlátozása után újra összerakni, méghozzá úgy, hogy a csomag digitális aláírása is érvényes legyen. Ezek után már csak abban kellett reménykedni, hogy a telepítendő alkalmazás fejlesztői rendben lekezelték azt az eshetőséget is a programjukban, amikor az Android megtagadja a hozzáférést az áhított erőforrásokhoz.

A triviális telepítés sajnos az AppFence-re sem lesz jellemző: az általa megvalósított funkcionalitás mélyen az operációs rendszer magjában bújik meg, ezért aztán a telepítése csak rootolás (vagyis a telefon teljes „felszabadítása”) után lesz lehetséges, egy új operációsrendszer-memóriakép beégetése útján. A rootolás (ahogy az iPhone-okon a jailbreaking) és a testre szabott memóriaképek használata egyre növekvő népszerűségnek örvend, így valószínű, hogy találunk az eszközünkhöz megfelelő leírást az interneten. Nem árt azonban tudatában lenni annak, hogy az eljárás nem kockázatmentes, és általában a garancia elvesztését vonja maga után. Valószínűsítjük azonban, hogy az információs önrendelkezést igen hatékonyan megtámogató AppFence még így is meg fogja érni a fáradságot és a rizikót.

Permalink: https://www.pet-portal.eu/blog/read/391/2011-07-13-Testre-szabhato-jogosultsagok-Android-alkalmazaso...

Forrás: Protecting Private Information on Smart Phones

Vissza

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.

Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok: bold: [b]Maecenas at nisl.[/b] italics: [i]Maecenas at nisl.[/i] underline: [u]Maecenas at nisl.[/u] url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url] image: [img]http://www.mysite.com/mypic.png[/img] quote: [quote]Maecenas at nisl.[/quote] code: [code]Maecenas at nisl.[/code] size: [size=12]Maecenas at nisl.[/size] color: [color=#FF0000]Maecenas at nisl.[/color] Hozzászólok!