Artikel på SVT: Åtta procent av Android-appar "läcker" information

Enligt följande artikel på SVT läcker hela åtta procent av alla Android-appar information:

Källa:
Nanok Bie
[email protected]

Länk till artikeln:
Åtta procent av alla Android-appar "läcker" information - rapport | svt.se



Det väcker onekligen en del frågor:

• Hur pass noga kontrollerar ni innan ni installerar en app?
• Hur pass viktigt information törs man lagra i telefonen?
• Hur pass säkra är programmen överlag?
• Hur pass säkra är anteckningsapparna lösenordsskydd gentemot datorns?

Vad tycker ni?

 

Vad grundar du det på?

 

Hahaha... jag vet då ingen eller hört någon som fått sitt kort eller telefon kapad. Har man lite skills så vet man väl vad man installerar och vad programmen har för rättigheter.

Man får väl skylla sig själv om man laddar ner en app för "spel fusk" eller "free porn" och sånt skit.

 

Kan vi diskutera nyheten istället?
Här är huvudkällan till nyheten
Dasient Blog
Dock så är ju företaget Dasient lite partiska då de lever på anti-malware lösningar.

 

Det var de jag förstod. Det är alltid anti-malware och Anti-virus företagen som kommer med dom dumma varningarna.

 

Tyvärr så är de ouppmärksamma användarna många, och det är de som lär råka ut för sånt här. Men tänker man till innan man laddar ner en app så klarar man sig långt. Skulle en app vara skadlig så är det ju bara till att rapportera den.

Sent from outer space

 

Redan där anser jag att artikeln tappar en stor del av sin trovärdighet. Av det jag sett från Nanok har jag fått uppfattningen av att han är en dator-illetärar klåpare som lever på att skriva om katt-videor han hittar på internet.

Sakfel, rageagainstthecage var/är en root-exploit för Android som sedan utnyttjades för att skapa trojaner, men innan dess en mycket populär metod för att medvetet roota sin telefon. rageagainstthecage utnyttjade f.ö. en sårbarhet i Android som var patchad långt innan trojanera kom ut på market.

Som X10Fan uttryckte det, bullshit. Jag är fullkomligt övertygad om att användarna som råkade ut för det installerade applikationerna utan någon som helst reflektion över att rättigheter för SMS krävdes, till program som med största sannolikhet inte hade någon som helst anledning till att behöva SMS-rättigheter.

Samma gamla visa. Bara för att Apple godkänner applikationer (vilket jag, lite lätt cyniskt, förutsättar att de gör baserat på sina riktlinjer för användargränssnitt snarare än säkerhetsrisker) betyder inte att det gör dom säkrare mot root-exploits, eftersom en sådan med största sannolikhet utnyttjar brister i systemet som inte är kända. Det är rätt duktigt svårt att skydda sig mot säkerhetshål som man inte känner till.

 

Ah, intressant.

Först och främsts ka vi ju konstatera att dessa 21 "trojaner" som nämndes i artikeln i trådstarten inte har något med Dasients rapport att göra. Dessa är alltås något som bör sättas i relation till samtliga appar på Market, inte de 10 000 som nämns i artikeln.

OK, det så kallade "problemet" här ligger alltså i perminssions för "Read phone state and identity", som ger programmet rätt att läsa IMEI-nummer på telefonen. Vissa appar skickar alltså den här informationen över Internet till en server. Det kan exempelvis ha att göra med att en licens ska låsas till en specifik telefon. Inget konstigt egentligen.

Dasient verkar tycka att detta är problematiskt eftersom anslutningar mot dessa servarar, eller servrarna själva, eventuellt kan vara osäkra och sårbara för anfall av hackers. (Notera att det inte konstaterats att servrarna verkligen är osäkra, för det vet man inget om.)

Summan av kardemumman är alltså att det enda med substans i artikeln är egentligen dessa 11 av 10 000 appar som "ful"-skickar SMS. Läget med dessa lär vara precis det som lupus beskriver.

Så, dessa 8 procent är egentligen 1 promille!

Hmmm... Var var den där Bullshit-knappen nu igen?

 

Man kan ju också notera att på dasient.com står det att säkerhetsföretaget valt ut 10000 appar att analysera. Det står på den sidan ingenting om hur apparna valdes ut, men man kan ju tro att ett säkerhetsföretag i första hand väljer att koncentrera sig på appar som de tycker verkar misstänkta.

På svt.se skrev de dock att det var de "10000 vanligaste apparna" utan att ange någon källa för det påståendet och utan att ange hur man definierar "vanligaste apparna". (flest nedladdningar? flest aktiva användare? någon annan definition?). Genom att påstå att underlaget bygger på de vanligaste apparna försöker Nanok ge statistiken mera legitimitet.

m v h Henrik

 

Det är gissningsvis också därför som Dasient inte släpper listan med vilka appar som är problematiska, eftersom det då skulle bli helt uppenbart att nyheten saknade substans.

Det hela är egentligen gasnka skrämmande, hur statligt finansierad media kan ha så låga krav på sina källor att man väljer att publicera en sådan nyhet utan att mer rådata presenterats. Detta från en källa som med stor sannolikhet inte är opartisk i frågan.

 

Jag laddade ner en sådan app som skulle låsa upp Angry Birds. Hade bytt telefon och orkade inte lira om allt igen. Såg inte konstigt ut på vad den vill ha tillgång till.

Gissa vad som hände?

Spoiler

Bli medlem eller logga in för att visa innehållet!