Archiwum kategorii: Bezpieczeństwo

Android i bezpieczeństwo danych

Współczesne telefony komórkowe praktycznie są bezużyteczne bez dostępu do Internetu. I dobrze! Jednak czy kiedykolwiek zastanawialiście się, czy Wasze dane są bezpieczne? Jak sprawdzić, który program może wysłać listę Waszych SMSów albo e-maili gdzieś, do bliżej nieokreślonej grupy osób? Może pozornie prosta gra przesyła informację o miejscu, gdzie się znajdujecie?

Nie każdy zapewne wie, że system Android posiada specjalny mechanizm pozwalający na kontrolę, jakie uprawnienia posiada aplikacja. Większość uprawnień może być przydzielona aplikacji przez programistów, dane o nich zapisywane są w specjalnym pliki znajdującym się w archiwum instalacyjnym – w tzw. manifeście.

Jakie czynności wymagają uprawnień?

Najprościej można napisać, że wszystkie, które mogą narazić użytkownika na dodatkowe koszty lub utratę prywatnych danych. Przykładem takich uprawnień może być umożliwienie dostępu do Internetu, możliwość wykonania połączenia, dostęp do listy kontaktów, dostęp do usług lokalizacyjnych. Informacje, z jakich uprawnień korzysta aplikacja można sprawdzić w sklepie, z którego ją pobieramy. Przykładowo, przeanalizujmy aplikację Data Guard Lite, dostępną w sklepie Google Play. Lista uprawnień jest widoczna w zakładce Uprawnienia. Jak możemy zobaczyć, aplikacja wymaga sporo uprawnień. Omówmy je po kolei:

  • bezpośrednie wybieranie numerów telefonu – brzmi groźnie, jednak w przypadku tej aplikacji ta możliwość jest bardzo przydatna. Ponieważ aplikacja pozwala w bezpieczny sposób na przechowywanie prywatnych, zabezpieczonych hasłem danych, jej autorzy zapewnili możliwość zatelefonowania pod numer przechowywany wewnątrz aplikacji (patrz zrzut ekranu sekcji Kontakt poniżej).
  • modyfikowanie lub usuwanie zawartości pamięci USB lub karty SD – w tym przypadku uprawnienie to jest wymagane do wykonania kopii bezpieczeństwa danych przechowywanych w aplikacji. Użytkownik ma możliwość chwilowego zgrania danych do pamięci telefonu (oczywiście w sposób zaszyfrowany) dostępnej po podłączeniu do komputera. Funkcja ta jest szczególnie przydatna w przypadku zmiany telefonu. Oczywiście domyślnie dane są zaszyfrowane i przechowywane w pamięci niedostępnej dla innych aplikacji i użytkowników.
  • wyświetlanie połączeń sieciowych oraz pełny dostęp do sieci – te uprawnienia najczęściej są związane ze sposobem finansowania aplikacji darmowych i wymagane są w celu zapewnienia możliwości wyświetlania reklam. Możemy sprawdzić, że w pełnej, płatnej wersji te uprawnienia nie są wymagane.

Ktoś mógłby zapytać, skoro aplikacja pozwala na wysłanie zaszyfrowanej kopii bezpieczeństwa za pomocą wiadomości e-mail, dlaczego zatem pełna wersja nie wymaga dostępu do Internetu? Otóż musimy rozróżnić dwie sprawy: pierwsza to bezpośredni dostęp do Internetu, np. w celu skomunikowania się ze zdalnym serwerem; druga – możliwość pośredniego skorzystania z usług internetowych z wykorzystaniem innego programu, takiego jak przeglądarka lub klient e-mail. W opisywanym przypadku dane są wysyłane właśnie dzięki wbudowanemu programowi do obsługi poczty, który posiada odpowiednie uprawnienia. Jednak program ten nie wysyła wiadomości automatyczne, musimy ręcznie zaakceptować wstępnie przygotowaną przez program Data Guard wiadomość.

Pamiętajmy zatem, sprawdzajmy uprawnienia i porównujmy je z funkcjami aplikacji deklarowanymi przez producenta. Pamiętajmy także, że np. otworzenie przeglądarki internetowej nie wymaga uprawnień dostępu do Internetu. W przypadku opisywanych, przykładowych aplikacji wszystkie wymagane uprawnienia są uzasadnione funkcjami aplikacji, jednak nie zawsze tak musi być…