En app kan hämta mina inloggningsuppgifter från Android

Har upptäckt att en app kan komma åt uppgifter som kräver mina inloggningsuppgifter för Google; där kan ju uppgifter finnas om betalkort, nog för att handla med! Troligtvis har jag vid installationen givit appen tillstånd att komma åt detta. Skulle dock vara bra att veta vilket tillstånd det är. Med Xprivacy går det ju att blockera mycket och många appar hämtar data som de inte behöver för att fungera.

Det var genom att använda Cerberus jag upptäckte det. Inget ont om Cerberus men kan det ske här kan även andra appar göra samma sak och jag vill veta vad jag skall se upp med:

Via min dator loggade jag in hos Cerberus och kollade vad man kunde göra. Ett kommando var ”Platshistorik”, eller något liknande. Man tankar ner en fil som när man klickar på den öppnas i Google Earth. Där visades var jag varit och vid vilka tidpunkter, långt innan jag installerade Cerberus. Denna uppgift får man genom att logga in på sitt konto hos Google, inget som Cerberus lagrar => Cerberus kan komma åt data från mitt konto hos Google.

Jag kollade i Xprivacy vad jag givit Cerberus för tillstånd. Jag tillåter Cerberus att hämta uppgifter om mina Konton. Därunder har getAccountByType använts nyligen. Lyckas inte läsa ut ur dokumentationen för Android om man där kan få uppgifter som räcker.

Kollade med Xprivacy och det är en hel del appar som vill ha uppgifter om mina konton, utan att jag kan se att de behöver uppgifterna. Ger man här tillstånd och dessutom tillstånd för appen att gå ut på Internet – då är lyckan fullständig, för konstruktören om han har oärligt uppsåt.

 

Fast Google kommer ju inte dela ut dina inloggningsuppgifter med lösenord och hela kalaset till denna app. Appen får helt enkelt ett sätt att identifiera dig på.

 

Keiser, är du säker? Det finns ett sätt att göra vad du antyder, via ett "token". Vet dock inte begränsningarna i detta fall.

 

Hittade detta svaret på Reddits Android i avdelning:

"If an app requests access to your Google account, you will be prompted on screen for approval to access the account. Additionally, your Google password is not shared with the app, ever. Google doesn't even store your gmail password in plaintext. The password is hashed, sent to google's server upon login, and then an authorization "token" is saved on the device. That token is sent when the password is needed. This token also changes regularly. So even if your details were passed to the app, your password cannot be."

 

Jag kollade i min Cerberus och den platshistorik jag fick upp var endast sånt som Cerberus samlat in. Inget från Google Location History. Jag är tveksam till att Cerberus har access till det. Dubbelkolla dina datum.

 

Sättet med "token" beskrivet ovan låter lugnande. Det gick dock inte till som det beskrivs, blev inte tillfrågad. Har raderat plats historiken hos google och ställt in så att ingen statistik skall föras. Laddade ner historiken både från Cerberus och direkt från Google, det var samma fil.

Tänker inte starta plats historiken igen så jag kommer inte att kunna repetera förloppet.

 

Startade upp telefonen och Cerberus samma dag, ny telefon. Detta förklarar hur jag får samla fil från google och Cerberus.

 

Det låter märkligt att det skulle vara samma fil eftersom de visar data helt olika. Jag jämförde de 2 filerna och det är stora skillnader mellan dem.
Cerberus hämtar inte position aktivt utan gör det först när andra appar gör det så det är stora "hål" i positionsdatan från Cerberus jämfört med den från Google.

Det hade varit intressant att utreda det lite mer eftersom du fick samma fil vilket inte ska vara möjligt. Särskilt på grund av att Cerberus som sagt inte lagrar position lika ofta som Google.

 

Har inte varit exakt när jag sa att filerna var lika. Det jag hade som underlag för att påstå detta var:

- Samma suffix på båda filerna, kml
- Ungefär samma storlek
- När jag klickade på dem och fick upp dem i Google Earth såg det likadant ut. Se bilagda bild
- Datumskalan, uppe till vänster i Earth, täckte samma tidsperiod avseende datum.

Jag jämförde inte exakt formatet på filerna, ej heller om samples var tagna samtidigt. Jag tror det inte men naturligtvis går det inte att utesluta att jag öppnade samma fil två gånger. Det som visas i bilden är från Cerberus.