HTC er nogle klaphatte

Jeg har lige fået ICS update til min HTC Sensation og det er tydeligt at HTC stadig ikke giver en hujende fis for deres kunders sikkerhed og privatliv.

Det er permission listen for den bundlede "Stock App" der følger med.

For det tilfældes skyld at man ikke er lige så aktiefixerede som USAnerne, er også "Weather Provider" udstyret med permissions som "Your Personal Information", "Services that cost you money", "Your Messages", "Your accounts", "Hardware controls" osv. osv.

Har papnisser og klytkoderne hos HTC aldrig hørt om "Least Priviledge" som grundprincip i security ?

Eller er kompromitering af kundernes sikkerhed decideret et designparameter for dem ?

Det nye er at man kan "disable" også de bundlede apps og det er et klart skridt fremad, forudsat det virker på en eller anden meningsfyldt måde og forudsat man ikke overser en af disse "chernobyl-bits" applikationer så den bare enabler dem alle sammen igen.

Men hvordan kan man vide hvad man faktisk kan disable og hvad der er nødvendigt for at telefonen virker ?

Hvad er og hvad gør f.eks den app der hedder "Smith" (version 4.2.ics.IML74K-pyramid) som har adgang til "Storage" og "Your Personal information" ?

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (27)

Lars Holm Jensen

Det er et generelt problem. F.eks vil Nordeas seneste opdatering til mobilbank have tilladelse til at se andre kørende processer? Den nægter jeg at installere. Men du er i det mindste så heldig at få ICS, jeg har en Desire :(

David Askirk Fotel

Nu hvor du også har ICS, har du så problem med at trykke på link, så den åbner den indbyggede browser resultere i at den reloader den foregående side i browseren i stedet for at åbne den nye?

Men at de endnu ikke har givet mulighed for at fjerne de indbyggede apps er endnu et argument for at roote og installere sin egen rom.

Kristian Christensen

Hvis det er en standard Desire kan jeg IKKE anbefale at opgraderer til 2.33 fra 2.30 som den er født med. 2.33 vil simpelt hen hive din ledige indbyggede hukommelse i bund så du ikke kan have nogen programmer liggende (selvom du har masser af plads på SD kortet)

Nikolaj Hansen

Google burde indbygge en valgmulighed under login, der tvang telefonen i Android native mode - uden al det crap, der bliver væltet ned på tlf. af producenterne og uden deres GUI extensions. Det er lige så slemt som de værste OEM Windows pc'ere på nogle telefoner.

Thomas Olsen

F.eks vil Nordeas seneste opdatering til mobilbank have tilladelse til at se andre kørende processer?


BEC nyeste mobilbank vil bl.a. have adgang til Tjenester, der koster dig penge (at ringe op), Hardwarekontroller (tag billeder, og optag video), GPS og netværksplacering, alle kontakter på mobilen og "telefontilstand og identitet".
Da jeg skrev og brokkede mig, var deres svar at det var:

  • For at kunne ringe til banken direkte fra app'en.
  • For at kunne tage billede af indbetalingskort for at verificere kodelinie.
  • For at kunne finde pengeautomat/bank
  • "...for at tilføje eksempelvis telefonnummeret til NETS i din telefonbog..." ???
  • "...for at læse telefonens serienummer – hvilket anvendes af sikkerhedsmæssige årsager."

Det sidste punkt har de måske fornuftig grund til, men resten vil jeg hellere undvære, end at give dem vidtgående rettigheder over min enhed.

Jeg synes til dels det også er Androids fejl, da jeg burde kunne bruge applikationen uden at give den adgang til disse funktioner.

Jan Gundtofte-Bruun

Hej PHK, du har før beklaget dig over dette, og er før blevet rådet til at roote din telefon. Det har jeg gjort på alle mine telefoner, fordi jeg heller ikke ser fidusen i en obligatorisk aktie-app - som tilmed kan alt.

Root din telefon ... så er det "kun" Android og rom-udviklerne du skal stole på. Det er ret simpelt og der er mange muligheder.

Jeg vil gerne igen minde om at en del mods giver brugeren mulighed for at fjerne permissions enkeltvis fra specifikke apps, og dette burde afhjælpe en del (berettiget) paranoia.

Anders Lund Hansen

Dette her er ikke kun et HTC problem.

I går opgraderede jeg min Samsung Galaxy S2 til Android 4 og jeg har sjældent set en lignende samling skrammel.

Jo mere jeg lærer Android til at kende jo mere skeptisk bliver jeg ! Jeg finder det problematisk at jeg pr. default kører med hvad jeg opfatter som administrator rettigheder. Derudover er der alle mulige skrammel apps som "Readers Hub", "Social Hub", "Misic Hub", "Game Hub" - bliv selv ved, jeg tror i kender problematikken. Oven i det tvinges jeg til at have en Google Account for ellers virker min telefon / tablet stort set ikke.

Jeg finder det også direkete anstødeligt at det der foregår omkring App Stores (og så er jeg ligeglad med om det er Microsoft, Google eller Apple). For et stykke tid siden var der en historie her på V2 om en mor til et barn i Odder kommune der havde købt et eller andet spil til den iPad som kommunen har udleveret til skolebørnene - såvidt jeg husker havde det kostet 12 kroner - og en måned senere havde iPaden guflet adskillige tusinde kroner i sig fordi den kendte hendes Visa kort nummer og bare brugte løs af det.

Den problematik, at denne mor overhovedet kunne finde på at installere et spil eller noget som helst andet på iPaden som jo rent faktisk tilhører kommunen, lader vi lige ligge i denne sammenhæng.

Mark Gjøl

Det jeg, som Android-udvikler, rigtigt savner er at have to lister af permissions:
* Dem som jeg har brug for, for at programmet gør hvad det skal (f.eks internet-adgang, hvis det er en rss-reader).
* Dem som jeg har brug for, hvis jeg skal levere ekstra funktionalitet, men som brugeren kan slå fra, hvis han helst er foruden. Evt. skal man kunne bede om dem on demand.

På den måde kan man smide en masse features ind i programmet, men man er ikke ude for at brugere helt fravælger programmet (og giver det dårlig anmeldelse) fordi det kræver for meget kontrol over telefonen. Senest har mit galleri måttet droppe at vise billeder fra vedhæftede mms'er fordi folk bestemt hverken var glade for, eller kunne se idéen i at mit program skulle læse deres sms-beskeder.

Det ville også være rigtigt dejligt, hvis man sammen med hver rettighed kunne skrive lidt til hvorfor man har brug for den.

John Rauhe

Jeg vil lige gøre opmærksom på at garantien på telefonen (Samsung telefoner godt nok), i følge Samsung support i DK, ryger hvis man rooter telefonen. Jeg ved ikke om det er lovligt rent juridisk, jeg har kun Samsung supports ord for det.
Det er grunden til at jeg ikke har rootet min Samsung Galaxy S2.

.. så er det "kun" Android og rom-udviklerne du skal stole på. Det er ret simpelt og der er mange muligheder.

Jeg vil gerne igen minde o

Malte Hansen

Det Ice cream sandwich til desire kører ikke ret godt.
Ta og smid cyanogenmod 7 på din HTC desire istedet - Det er lækkert, stabilt og meget smooooth :)

Casper Bang

For ikke at nævne at der ikke står et ord om hvad alt det junkware HTC fylder på overhovedet gør.


Men det er jo på den anden side ikke stort anderledes end når du køber en PC med Windows + crapware installeret.

Iøvrigt lyder der rygter om at Google pønser på at lave permission-systemet lazy, altså komme op og spørge on-demand, når en funktion skal bruges første gang. Denne sammenkobling af kontekst og rettighed bør være en forbedring i forhold til nuværende, også selv om det potentielt resulterer i flere popups.

Jan Gundtofte-Bruun

Jo mere jeg lærer Android til at kende jo mere skeptisk bliver jeg! [...] Oven i det tvinges jeg til at have en Google Account for ellers virker min telefon / tablet stort set ikke.


Ked af at måtte sige det, men så har du ikke gjort dit forarbejde. Android var fra starten af tæt integreret med GMail og Google, og det er ikke rimeligt at forvente det kan fravælges. Du kan dog få helt "rene" Android-distributioner som endda kommer uden Google Apps (for det skal de), men de er tilsvarende lidt bevendt.

Det ER derimod rimeligt at forvente at der findes et andet og bedre system, men det er desværre ikke tilfældet. :-( (RIP PalmOS)

De "alle mulige skrammel apps" har du helt ret i er noget værre rod, og kommer primært fra telefon-producenterne. De er med andre ord ikke en del af Android.

Jeg finder det også direkte anstødeligt at det der foregår omkring App Stores [...]. For et stykke tid siden var der en historie her på V2 om en mor til et barn i Odder kommune [...]


Det er en helt anden diskussion. Ikke at jeg er uenig med dig, men det er ikke rigtig relevant lige nu (til andet end at give udtryk for utilfredshed, fair nok).

Jan Gundtofte-Bruun

Men det er jo på den anden side ikke stort anderledes end når du køber en PC med Windows + crapware installeret.


Desværre jo, der er forskel: Man kan målrettet fjerne Windows crapware, men som almindelig forbruger har man ingen mulighed for at fjerne crapware fra en Android telefon med producent-specifikke tilføjelser. Det kræver nemlig root-adgang, som måske nok er ganske nemt at gøre men ikke er for "almindelige brugere". Situationen er nærmere den, at man tager sin nyindkøbte Windows pc, formatterer disken, og installerer et spritnyt styresystem på den (muligvis en anden version af Windows, eller måske endda noget helt andet).

Christian Nobel

Ked af at måtte sige det, men så har du ikke gjort dit forarbejde. Android var fra starten af tæt integreret med GMail og Google, og det er ikke rimeligt at forvente det kan fravælges.

Og hvorfor så ikke det?

Mange køber en telefon for at bruge den til at ringe, sms'e, tage billeder osv, og så er det da meget smart man også kan browse - skal man fordi man gerne vil kunne det også forloves med Google?

Nej, den er helt misforstået, især da folk køber en HTC, Samsung, LG, Sony eller hvad ved jeg.

Plus at et eller andet sted, så "nasser" Google på Linux, men giver ikke den åbenhed som ellers ligger i Linux.

Du kan dog få helt "rene" Android-distributioner som endda kommer uden Google Apps (for det skal de), men de er tilsvarende lidt bevendt.

Nu nævnte Thomas Miui, er der nogen der har erfaringer med den, og er den helt "ren"?

Det ER derimod rimeligt at forvente at der findes et andet og bedre system, men det er desværre ikke tilfældet. :-( (RIP PalmOS)

MeeGo kunne vel have været det vi sukker efter, men desværre solgte Nokia deres sjæl til Ballmer & Co.

Poul Pedersen

Galaxy Nexus er faktisk forbavsende clean set i forhold til f.eks. Galaxy S2/HTC*

Men desværre er problemet stadig ikke løst, for stort set alle apps synes at være designet af chernobyl-elskere :(

Sjovt nok har jeg ikke savnet funktionaliteten som crapware'n efter sigende skulle byde ind med.

Spørgsmålet er så nok bare om vi kan være så naive at tro at det er fordi de ikke kan kode at det er sådan... eller om vi skal være realistiske og regne med at vores informationer bliver høstet og solgt til højestbydende?

Andrew Rump

Jep det problem har jeg også.
Desuden genstartede Sense hvert 10. minut, indtil jeg fik afinstalleret en god portion af mine apps (alle der kan, er flyttet over til SD kortet), men Sense kræver nu over 300MB fri plads, mod før 100MB, for ikke at skabe problemer! :-(

Jan Gundtofte-Bruun

Nu nævnte Thomas Miui, er der nogen der har erfaringer med den, og er den helt "ren"?

Nej, men jeg har rigtig gode erfaringer med Oxygen, som er en 'ren' distro. Og så fylder den 30Mb mindre end Cyanogen, hvilket er ret dejligt på en Desire. Prøv det hvis du vil, intet pres herfra. :-)

http://android.appstorm.net/reviews/roms/oxygen-rom-minimalist-and-fast/

Log ind eller opret en konto for at skrive kommentarer

IT Businesses