Kommentar: App-tilladelser skræmmer brugerne

Altså til en hvis længde kan jeg også selv være i forag over hvor meget tilladelse vi giver apps, men er det virkelig så slemt? Jeg ved godt jeg har en upopulær holdning, men hvis sider som google og facebook ser hvad vi laver, og sælger det til firmaer. Er det så ik fedt de laver reklamer baseret på algorytmer? Vi kan ikke undgå at se reklamer overalt, men hvis vi alligevel skal se reklamer konstant, så er det vel meget federe at det er reklamer de mener er relevant for mig. Jeg er mere bekymret for mine børn. Jeg ved godt jeg er lidt overbeskyttende, men tanken om at mine børn bliver 'targeted' af store firmaer skræmmer mig lidt. Især fordi det er mit kort der betaler alt det de ser i tv'et og på deres ipads. Jeg læste en lille artikel om det jeg mener der er af relevans, så jeg linker lige til den hvis nogen skulle være interesseret i at læse den

https://www.ewire.dk/markedsfoering-til-boern-hvor-er-graensen/

Man kunne måske også bare nøjes med at give brugeren en notifikation når det er ved at være tid til at indberette moms..

Så handler det her ikke bare om at mange app udviklere ikke har respekt for hvad de beder brugerne sige OK til?

Mht. app-private storage, så er der dette at tage hensyn til:

Note: When the user uninstalls your application, this directory and all its contents are deleted. Also, the system media scanner does not read files in these directories, so they are not accessible from the MediaStore content provider. As such, you should not use these directories for media that ultimately belongs to the user, such as photos captured or edited with your app, or music the user has purchased with your app—those files should be saved in the public directories.

Det gør nok, at mange udviklere vælger at bede om den fulde tilladelse.

Hvorfor nævner du Apple i din kommentar, når du tydeligvis aldrig har benyttet en iPhone?

Android 6.0 (Marshmallow) blev officielt lanceret i går (d. 29/09/2015) og Google's egne Nexus telefoner vil begynde at modtage opgraderingen om en uge

God artikel, men underlig timing.

Den største nyhed i Android 6.0 er "Runtime permissions" - man skal ikke længere at godkende alle tilladelserne, når en app installeres, men bliver i stedet spurgt, når tilladelsen rent faktisk skal bruges. Brugeren har mulighed for at give nogle tilladelser og nægte andre, samt at fortryde en tilladelse og slå den fra igen senere.

https://www.youtube.com/watch?v=f17qe9vZ8RMhttps://www.youtube.com/watch?v=iZqDdvhTZj0

Android 6.0 (Marshmallow) blev officielt lanceret i går (d. 29/09/2015) og Google's egne Nexus telefoner vil begynde at modtage opgraderingen om en uge.

http://android-developers.blogspot.dk/2015/09/android-marshmallow-ready-for-devices.html

Jeg er ikke android udvikler (eller app udvikler), men det tager ikke mange sekunder at konkludere at man kan give brugeren en knap til at tilføje events:http://developer.android.com/guide/topics/providers/calendar-provider.html#intent-insert

Men skal burde nok istedet offentliggøre et iCal feed og bruge en intent til at få folk subscribed.

Det med SD kort adgang er heller ikke nødvendigt:http://developer.android.com/guide/topics/data/data-storage.html#AccessingExtFiles(ihvertfald ikke for nyere telefoner, og appen kan stadig være bagud kompatible).

Så handler det her ikke bare om at mange app udviklere ikke har respekt for hvad de beder brugerne sige OK til?

Fin artikel og mange gode kommentarer. Et andet eksempel er Rejseplanen. De vil gerne have adgang til at læse kontakter og til at læse, skrive og slette mediefiler.

De påstår at adgang til mediefiler er for at kunne lagre et Google-kort og kontakter for at man kan søge blandt kontakterne. Men selv om man ikke bruger disse funktionaliteter overhovedet kan man ikke installere app'en. Måske med Androids nyt feature med at spørge når behovet opstår?

Jeg har altid syntes det var en mærkelig klassificering af rettigheder, Google har lavet i Android. Den er alt for grov. Kategorierne er alt for brede og indeholder alt for meget. Og det er grotesk, at de tænker at almindelige brugere skulle kunne tage stilling til, om lige netop den app virkelig har brug for netop de rettigheder. Selv kan jeg som mangeårig systemudvikler kun lige netop regne ud, hvorfor den pågældende app nok måske kunne tænkes at skulle bruge én af rettighederne i en gruppe af rettigheder. Stadig uden at vide med sikkerhed, at det faktisk er derfor. Men hvordan skulle almindelige brugere kunne regne det ud? Det kan de ikke. Så de accepterer bare, helt uden at forstå hvad de siger ja til.

Men med hensyn til granuleringen: Hvorfor give adgang til at læse kalenderoplysninger, hvis alt appen har brug for er at tilføje en aftale? Så lav da en rettighed, der hedder "Tilføje aftaler i din kalender". Og endda gerne stadig således, at styresystemet beder brugeren godkende, når det faktisk sker – så appen ikke kan spamme ens kalender. Og selv hvis appen har brug for at tilføje 52 aftaler til kalenderen, fordi det giver mening i den pågældende app, så kunne man jo svare "Ja, og giv rettigheden det næste minut" eller noget i den stil.

Har appen brug for at skrive filer til hukommelsen til backup? Så lav en rettighed, der hedder "Adgang til at skrive nye filer i hukommelsen (men ikke overskrive eksisterende og ikke læse eksisterende)". Gerne krydret med at man angiver, hvilken mappe dette må ske i.

Og tilsvarende med alle andre rettigheder.

Der bør være langt flere typer af rettigheder, og de bør ikke samles i grupper af rettigheder, man må give tilladelse til, selv om der kun er brug for en enkelt underrettighed. Der skal kun gives tilladelse til lige præcis de nødvendige rettigheder.

Desuden burde det være et krav, at dem, der skriver apperne, angiver en forklaring for hver eneste rettighed, appen kræver adgang til. Hvorfor skal den have adgang til netop dét?

Ikke at forklaringer nødvendigvis øger sikkerheden, for forklaringerne kunne jo sagtens lyve, men det ville alligevel øge opmærksomheden hos brugerne over for hvorfor det kunne give mening at apperne kræver lige præcis de bestemte rettigheder. Og nogle af os ville nok nogenlunde kunne afgøre, om vi synes det giver mening.

Desuden skulle det fra styresystemets side være muligt for brugeren, når vedkommende installerer en app, for hver enkelt rettighed at sige "nej, lige netop den rettighed vil jeg ikke give til den app". Og så må apperne indrette sig efter dét. Langt det meste af funktionaliteten i apperne vil stadig fungere fint. Og når apperne så støder på en situation, hvor de ønsker en rettighed, som brugeren har nægtet, så må de enten fortælle brugeren, at det ikke kan lade sig gøre fordi appen ikke har fået rettigheder til det, eller styresystemet kunne spørge brugeren om de ønsker at give den rettighed lige netop nu, som en engangshændelse, hvorefter det fortsat vil være nægtet appen at få adgang til den pågældende ressource.

Det kunne yderligere krydres med forskellige muligheder for at sige "Spørg mig ikke igen", så man enten kan nægte appen nogensinde bare at spørge om rettigheden igen eller give appen den pågældende rettighed for altid fremover – indtil man eventuelt tilbagekalder rettigheden i styresystemets indstillinger.

Tilsvarende ville det være lækkert, om styresystemet loggede alle situationer, hvor appen benyttede sig af sine rettigheder. Hvis situationerne bliver for mange for en app, så kunne loggen gå over til, for den pågældende app og rettighed, blot at registrere hvor mange gange, den pågældende app havde gjort brug af den pågældende rettighed. Denne log eller statistik skulle brugeren så kunne gå ind og se på når som helst for at se, om appen opfører sig ordentligt.

At Google ikke har lavet et system som dette på Android undrer mig virkelig.

Jeg har en "mistanke" om, at det er fordi de måske har bygget oven på nogle eksisterende muligheder i Linux, og at disse muligheder er ret grovkornede. Men jeg ved det ikke.

Uanset hvad har Google helt bestemt kræfterne til at gøre rettighedsstyringen langt bedre på Android. Og jeg tror endda det må kunne gøres på en måde, så dele af det også vil kunne fungere for ældre apper skrevet til tidligere udgaver af systemet.

Jeg håber, at andre end udvikleren ved, hvad der foregår i en app. Og selvom udvikleren ved, hvad der teknisk fungerer er det jo ingen forhindring for en person et andet sted i organisationen at bruge de acceterede muligheder til noget andet end de var tænkt til - af udvikleren eller af opgavestilleren.

Til gengæld kan man lede efter XPrivacy efter at have installeret Xposed på sin rootede Android.

Jeg har selv en Android med Cyanogenmod og bruger Privacy Guard og AFWall+. For nyligt skulle jeg dog "sikre" hhv. en Samsung Galaxy Tab 10.5 og en Acer Iconia 8 og der er det ikke sådan lige til at få installeret Cyanogenmod.

I stedet er det muligt at roote begge. Xposed er et fantastisk stykke software der gør der muligt at erstatte funktioner i Android-APIet med uofficielle versioner, hvilket er præcis det XPrivacy gør. Dermed kan man få præcis den præcision ift. app-tilladelser som man har lyst til.

I det hele taget forstår jeg ikke hvorfor at producenterne af mobiler og tablets ikke gør mere ud af at slå sig på privacy. Den Acer Iconia virker som et udemærket stykke hardware, men mængden af bundlede apps er helt abnorm, og de bundlede apps er tilmed installeret som "system apps", hvilket vil sige at de har beføjelser ud over det sædvanlige. Det klarer "/system/app mover" heldigvis -- og så kan de efterfølgende slettes.

På min egen mobil har jeg også valgt at erstatte Googles "location-service" (der spørger Google om koordinater ud fra hvilke WLANs og mobilmaster mobilen kan se) med UnifiedNlp; en opensource løsning der blandt andet kan benytte Mozilla Location Services i stedet. Jeg har ikke nogen fidus til at Google ved hvor jeg er hver gang min vejr-app laver et opslag...

Xposed: http://repo.xposed.info/XPrivacy: https://github.com/M66B/XPrivacyAFWall+: https://f-droid.org/repository/browse/?fdfilter=afwall&fdid=dev.ukanth.ufirewallUnifiedNlp: https://f-droid.org/repository/browse/?fdfilter=unifiednlp&fdid=org.microg.nlp (hvis man har Google Appps) eller https://f-droid.org/repository/browse/?fdfilter=unifiednlp&fdid=com.google.android.gms (uden GAPPS) /system/app mover: https://f-droid.org/repository/browse/?fdfilter=mover&fdid=de.j4velin.systemappmover, https://github.com/j4velin/SystemAppMover

"Vi står altså i en situation, hvor app-udviklerne på deres side hævder, at det er ganske harmløst, når deres app beder om udvidede beføjelser, mens brugerne er nødt til at tage stilling til, om de stoler på app-udvikleren."

I modsætning til de 20 år op til smartphone revolutionen? Nej. Sådan har det altid været med software. Eneste forskel er, at hr. og fru. Danmark nu bliver gjort opmærksom på situationen.

Jeg læste netop at i Android 6, der skifter de rettighedsmodellen så den virker som i iOS, så der først spørges når funktionen benyttes, dvs. brugeren kan vælge at afvise anmodningen på netop kalender eller kontakt. Der er ingen tvivl om at det fungerer rigtigt godt på iOS, og at Android heldigvis følger med i samme fodspor.

Hvilket er præcis det iOS gør, den kræver ikke adgang på forhånd når du vil installere et app. Derimod bliver man spurgt første gang, om man vil give det her app adgang til fx at sende en push beskeder (hvilket de fleste app beder om, første gang man starter dem).

iOS er meget bedre end Android og Windows Phone. Ved ikke om de har et software patent siden de ikke gør det samme som Apple? Anyway, iOS spørger først når man vil bruge den givne tilladelse, et plus, men det ændrer ikke ved at man stadig giver tilladelse til alt eller intet. Ret frustrerende.

Jeg må prøve CyanogenMod, det lyder som et rigtig godt skridt i retningen mod den "perfekte" løsning, at man giver tilladelse pr. gang.

Det er en rigtig god pointe - specielt fordi det er en af de mest benyttede sikkerhedsmodeller (Bell–LaPadula modellen, som fx bruges af militaeret). Den siger basalt set at man maa skrive op og laese ned - man maa skrive data til et mere betroet lag men kun laese fra et mindre. Kalenderen er et mere betroet lag end skats app, internettet mindre. Modellen sikrer at fortrolig information ikke kan laekkes.

I det mindste lader det til, Android faar en sikkerhedsmodel, der er lidt mere som iOS', hvor rettigheder kan gives individuelt og kun naar de skal bruges.

Man burde i Android kunne køre en applikation selvom man nægter visse rettigheder. Man kunne f.eks. give adgang til en tom kalender, en støjkilde som kamera, en tilfældig lokation, osv. På den måde kan applikationen stadig køres men uden at den reelt er givet adgang til noget interessant.

Men hvorfor er det ikke muligt at bede om rettigheder til at skrive en kalenderen, uden at have rettigheder til at læse i den?

Midt imellem "nej til alt" og "ja til alt", som der pt. er de eneste former for stillingtagen til app. rettigheder, så mangler jeg en "spørg mig, når det bliver nødvendigt".

I CyanogenMod er der en feature der hedder Privacy Guard. Det er netop det I efterspørger; det at man bare svarer 'ja ja' til det applikationen beder om, men når den forsøger at benytte sig af de givne privilegier, så vil Privacy Guard poppe frem og spørge om App'en skal have lov - og man kan svare pr. gang, eller bede den huske svaret. I en oversigt kan man yderligere se hvor mange gange, og hvornår sidst, et givent privilegie er brugt eller forsøgt brugt. Meget ligesom de 'personlige firewalls' til Windows for 10 år siden.

Det virker smart. Om App kan omgå dette, om det virker 100%, det ved jeg ikke, men jeg har det meget bedre med mere end 0 kontrol, og mere end 0 indsigt i hvad mine apps foretager sig.

(Og nej, I skal ikke sultne lede efter 'Privacy Guard' App for at få samme på Jeres telefon - der er kun scamware der kalder sig det i Play Store - det er mig bekendt kun som en OS del i CyanogenMod man kan finde det - måske også i andre ROM's.)

Midt imellem "nej til alt" og "ja til alt", som der pt. er de eneste former for stillingtagen til app. rettigheder, så mangler jeg en "spørg mig, når det bliver nødvendigt".

Det kan helt sikkert forfines, og der er stadig vide muligheder for misbrug, men det er da en start.

Men hvorfor er det ikke muligt at bede om rettigheder til at skrive en kalenderen, uden at have rettigheder til at læse i den? Hvis man vil være sikker på det ikke clasher med noget andet, kunne man jo snildt lave sådan man kan få at vide der allerede er planlagt noget i kalenderen, men ikke hvad.

Der er mange muligheder. Jeg forstår ikke det her med det altid skal være alt eller intet...

(Det kan være det allerede er muligt, men i så fald, hvorfor bruger skat så ikke det?)

Det er en god opsummering af situationen. Det handler om tillid. Alt kan misbruges, og hvis vi vil forhindre misbrug effektivt, er en masse funktionalitet ikke muligt (fx at læse og skrive til en kalender). Problemet er bare, at det bliver misbrugt. Lommelygte apps der kræver 117 suspekte tilladelser, osv. Firmaer der sælger oplysninger om os.

Og har vi grund til at stole på fx. Skat? Har de højere moral end fx. VW? Vi har lige læst om hemmelige ransagninger - åbner en app fra Skat ikke en ladeport her?

Ja, vi kan vælge tillid, tro på det bedste i vores medmennesker, eller vi kan tro at hvor der er mennesker (og penge!) involveret, vil der også være misbrug.