Za każdym razem, gdy instalujesz aplikację, musisz się zgodzić na nadanie jej odpowiednich uprawnień. Ale na co właściwie się zgadzasz? Czy stanowią one zagrożenie dla Twojej prywatności i bezpieczeństwa?
Aby wykorzystać kamerę, internet lub inne zasoby Twojego telefonu, aplikacje w systemie Android muszą prosić o akceptację uprawnień. Aplikacje zostaną zainstalowane tylko, jeżeli się na to zgodzisz, albo zostaną odrzucone – jest to system działający na zasadzie „wszystko, albo nic”. Problem pojawia się jednak, gdy uprawnienia są łączone: przejście przez wszystkie jest bardzo męczące, dlatego zwykle akceptujemy je, nawet nie patrząc.
![]( "Uprawnienia Google Play")
Bezmyślne akceptowanie uprawnień może niestety nieść ze sobą nieprzyjemne konsekwencje, taki jak przysyłanie SMS-ów lub kradzież danych osobowych, jak ma to miejsce w przedstawionym wirusie. Sprawdzenie uprawnień zajmuje mniej niż minutę, a poświęcona teraz chwila może naprawdę oszczędzić sporo problemów w przyszłości – takich, jak na przykład konieczność zmiany wszystkich swoich haseł.
Poniżej przedstawiam listę uprawnień, o które pytają obecnie aplikacje, oraz wyjaśniam, jakie niebezpieczeństwa mogą się z nimi wiązać i w jaki sposób możesz zapobiegać kłopotom.
Zintegrowane zakupy: uważaj na oszustwa i wymuszenia
Nagłówek ten wydaje się chyba być jasny: Android umożliwia robienie zakupów bez konieczności przejścia przez Google Play. W grach takich, jak na przykład Candy Crush, możesz nabyć przedmioty, które pomagają Ci pokonać kolejne poziomy. Istnieją jednak aplikacje, które wykorzystują ten system aby wyłudzić pieniądze w oparciu o najróżniejsze obietnice.
Na przykład: wirus zwany Fakedefender prezentował użytkownikom fałszywego antywirusa, który alarmował o zagrożeniu, i obiecywał zlikwidować problem po dokonaniu zakupu wewnątrz aplikacji. Inny dość złośliwy przypadek to sytuacja, gdy pełny wygląd gry staje się widoczny dopiero po wykonaniu płatności in-app. Jeśli taką grą bawi się Twoje dziecko, ciężko jest mu odmówić i nie zapłacić.
Android Defender, fałszywy antywirus, który wymusza dokonanie zakupu
Aby uniknąć problemów związanych ze zintegrowanymi zakupami, włącz ochronę hasłem w Google Play. Unikaj również impulsywnych zakupów. A przede wszystkim, nie dawaj się oszukać fałszywym obietnicom.
Dane mobilne / WiFi: kradzież danych tylnym wejściem
Dzięki zarządzaniu połączeniem z Internetem dla aplikacji, obie te strefy są raczej niegroźne. Każda aplikacja która chce połączyć się z Internetem musi wyświetlić powiadomienie. Te uprawnienia mogą stanowić zagrożenie, jeżeli są połączone z innymi, ponieważ dają one zielone światło aplikacji do wysyłania Twoich danych na zewnątrz.
Szczególnie dostęp do listy kontaktów oraz danych mobilnych powinny martwić. Na przykład, po co aplikacji – kalendarzowi miałby być potrzebny dostęp do listy kontaktów? Być może w celach reklamowych, ale nie możesz być tego pewien. Jeśli masz wątpliwości, możesz zablokować połączenie firewallem (co również w niektórych grach pomaga wyłączyć reklamy).
Historia aplikacji i urządzeń: historia i zakładki
Ta grupa uprawnień pozwala na dostęp do danych telefonu, takich jak strony, które odwiedzasz, czy ulubione aplikacje, które najczęściej uruchamiasz. Wyszukiwarka, menedżer aplikacji czy sieć społecznościowa potrzebują dostępu do listy Twoich aplikacji i zakładek, aby wprowadzać modyfikacje, ale na przykład gra – już nie.
![]( "Chrome Historia")
Dostęp przez przeglądarkę Chrome do Historii i Ulubionych jest czymś normalnym
Zagrożenia dla Twojej prywatności są oczywiste: tego rodzaju dane ucieszyłyby zarówno NSA jak i każdy inny podmiot zainteresowany Twoimi zwyczajami w sieci. Z drugiej jednak strony, jeżeli aplikacja nie przechowuje Twojej pamięci, nie ma sensu udzielać dostępu do listy uruchomionych aplikacji. Musisz więc po prostu zadać sobie pytanie, czy żądania jakie stawia aplikacja są sensowne.
Tożsamość i konta: Twoje konta dostępne dla każdej aplikacji
Uprawnienia tożsamości pozwalają aplikacji na dostęp do prywatnych danych, które znajdują się na Twoim telefonie. Oczywiście ma to sens w przypadku aplikacji sieci społecznościowych, takich jak Facebook czy Twitter, ale na pewno nie, gdy Twoje dane nie mają nic wspólnego z celem aplikacji. Wówczas wirus wykorzystujący te uprawnienie może – teoretycznie – usunąć wszystkie Twoje konta.
Kontakty/ Kalendarz: uważaj, z kim dzielisz się swoimi planami
Największe zagrożenie wiąże się z zezwoleniem na dostęp do książki adresowej i kalendarza. Złośliwa aplikacja może, na przykład usunąć numery telefonów i maile lub skasować wydarzenia w kalendarzu bez pozwolenia, a nawet zaprosić jakichś ludzi na dane wydarzenia – również bez Twojej zgody.
Na przykład wirus FireLeaker kradnie numery telefonów i maile oraz wysyła je wszystkie na serwer kontrolowany przez cyber-kryminalistów, którzy następnie sprzedają te dane firmom zajmującym się rozsyłaniem spamów w formie maili i SMS-ów.
Lokalizacja: potrzebujesz tej gry, aby wiedzieć, gdzie się obecnie znajdujesz?
Ten zestaw uprawnień daje dostęp do czujników lokalizacji, takich jak GPS. Są przydatne w przypadku map, przewodników i aplikacji, które dołączają lokację do Twoich zdjęć i publikacji. Jeśli jednak podejrzewasz, że te uprawnienia nie mają sensu dla danej aplikacji, należy być bardzo czujnym.
Pomijając już fakt drenowania baterii, zbieranie danych o lokalizacji mocno zagraża Twojej prywatności. Odkryty w 2012 roku malware zwany TigerBot, rozsyła lokalizację Twojego telefonu wraz z Twoimi prywatnymi danymi, takimi jak nagrania rozmów czy obrazy.
SMS: uważaj, wysyłanie krótkich wiadomości może być bardzo drogie
Jeśli widzisz prośbę o takie uprawnienia, odpowiedz sobie na pytanie, dlaczego chciałbyś, aby aplikacja mogła otrzymywać, czytać czy wysyłać wiadomości tekstowe. Niektóre wymagają odebrania SMS-ów w celu potwierdzenia rejestracji, ale czasami będą podstępnie wysyłać drogie SMS-y.
W 2014 r Panda Labs odkryło, że aplikacja do układania diety, która była subskrybowana przez 300.000 użytkowników, oparta była na planie bardzo drogich płatności w formie SMS, będąc tym samym bardzo prostym i skutecznym oszustwem.
Telefon: kiedy aplikacja może do Ciebie dzwonić
Te uprawnienia są stworzone po to, aby umożliwić aplikacjom wykonywanie połączeń. Korzystają z nich komunikatory takie, jak LINE czy WhatsApp, a także automatyczne sekretarki oraz funkcja blokowania połączeń.
Jednak w przypadku aplikacji, gdzie użycie telefonu jest bezcelowe, te uprawnienia mogą wskazywać na ukryte opłaty za połączenia. Wirus MouaBad, odkryty w 2013 roku przez Lookout, umożliwiał hakerom wykonywanie bardzo drogich połączeń na koszt właściciela telefonu, który nie miał o niczym pojęcia.
MouaBad., złośliwe oprogramowanie, które może zdalnie wykonywać połączenia z Twojego telefonu na drogie numery
Zdjęcia, dane i pliki: a jeśli ktoś ma dostęp do Twoich prywatnych materiałów?
Jeśli aplikacja musi przechowywać pliki, musi prosić o uprawnienia, aby zmodyfikować lub usunąć zawartość. Bardzo trudno jest wówczas określić, czy te uprawnienia zostaną wykorzystane w złym celu, na przykład do kradzieży lub usunięcia danych.
Niektóre wirusy mogą przejąć kontrolę nad Twoim telefonem i rozesłać po sieci Twoje zdjęcia lub pliki. Aplikacja Pixer, którą można pobrać z Google Play, podstępem skłania użytkowników do zaakceptowania uprawnień, a następnie kradnie zdjęcia z telefonów i wysyła je na swoje serwery.
Kamera / Mikrofon: uprawnienia, które przypadłyby do gustu Agentowi 007
Kiedy zezwalasz aplikacji na dostęp do Twojej kamery lub mikrofonu, może ona swobodnie robić zdjęcia lub kręcić filmy, a także nagrywać dźwięk. Oczywiście ma to sens dla aplikacji takich, jak Instagram, Skype czy Facebook. W innych wypadkach, trzeba się mieć na baczności.
![]( "placeraider")
Aplikacja PlaceRaider może wykonywać losowe zdjęcia i całkowicie odtworzyć wygląd pomieszczenia, w którym się znajdujesz
Aplikacja PlaceRaider to przykład niebezpieczeństwa wynikającego z akceptowania uprawnień lekką ręką. Została stworzona przez zespół amerykańskich naukowców i może robić zdjęcia bez twojej wiedzy, aby odtworzyć wygląd pomieszczenia w którym się znajdujesz. Szpiegostwo, które samemu akceptujesz.
Numer ID urządzenia i dane o połączeniach: identyfikator twojego telefonu
To tajemnicze określenie oznacza udzielenie przez Androida zezwoleń na odczytywanie przez aplikacje takich danych, jak numer IMEI, który jest jak dowód osobisty twojego telefonu. Uzyskanie go jest całkiem proste.
Przykład danych, które mogą być pobrane za pomocą uprawnień ID urządzenia
Mając prawidłowy numer telefonu, ktoś mógłby “sklonować” Twój telefon i sprawić, że jego rachunki przychodziłyby do Ciebie. Twój telefon może również zostać zablokowany przez operatora, jeśli zostanie on poinformowany o tym, że został on skradziony. Wirus BadNews jest przykładem tego rodzaju złośliwego oprogramowania.
Inne: mieszanka największych zagrożeń
Oprócz typowych dla Androida uprawnień, aplikacja może również zapytać o bardziej oryginalne uprawnienia. To bardzo ważne, aby zawsze, gdy masz podaną listę – przeczytać ją dokładnie. Pomiędzy wieloma znanymi mogą się pojawić też dużo bardziej podejrzane, takie jak na przykład czytanie wiadomości na Twoich portalach społecznościowych, dawanie pełnego dostępu do sieci czy sprawowanie kontroli nad urządzeniem. Nie ma granic: wszystko to mogą skrywać uprawnienia, które potężnie nadwerężą bezpieczeństwo Twoich danych.
Złota rada: zdobywaj informacje i dokładnie sprawdź uprawnienia
Jeśli jesteś zdania, że dane uprawnienia po prostu nie mają sensu, zapytaj deweloperów: możesz wysłać im e-maila z Google Play lub zostawić komentarz. Recenzje innych użytkowników oraz rating aplikacji to następne informacje, które pomagają udzielić odpowiedzi na pytanie, czy aplikacja jest bezpieczna. Na pewno nie instaluj niczego podejrzanego bez uprzedniego zdobycia informacji.
A co w przypadku aplikacji, które już są zainstalowane? Istnieją narzędzia pozwalające zmieniać uprawnienia już zainstalowanych aplikacji. Dobrym przykładem jest tutaj F-Secure App Permissions, która skanuje wszystkie uprawnienia wykorzystywane przez Twoje aplikacje i raportuje te najbardziej podejrzane, aby móc zdecydować, co z nimi dalej robić.
F-Secure App Permissions przyznaje ocenę każdej aplikacji, która prosiła o uprawnienia
Po przeczytaniu tego artykułu można by dojść do wniosku, że uprawnienia to Twój wróg, ale wcale tak nie jest: są one podstawą prawidłowego funkcjonowania wielu świetnych aplikacji. Jednak sposób, w jaki Android zajmuje się uprawnieniami nie jest zbyt chwalebny, ponieważ często prowadzi do niebezpiecznych przeoczeń i bardzo łatwo pozwala dopuścić naprawdę niebezpieczne uprawnienia.
Źródło wykorzystanych grafik: Google Play, Tudocelular, MIT, CodePainters, TheDroidGuy
Zobacz także:
Ale dla Google świat możliwości na Android L się nie kończy. Zatem przygotujcie się na prawdziwy wysyp Androidów. Zaczynając od 
Google roztoczyło dziś przed nami wizję jednego, wielkiego i powiązanego ekosystemu aplikacji i platform mobilnych, którego spoiwem jest oczywiście samo Google. Android trafi więc wszędzie, gdzie tylko może, a to przecież tylko początek. Pamiętajmy, że Google ma jeszcze w zanadrzu Chrome OS, na którym eksperymentuje z przenoszeniem androidowych aplikacji. O tym, że z poziomu wyników wyszukiwania będzie można przechodzić bezpośrednio do aplikacji, która ów wynik zapewnia, nawet nie wspomnę.
