Kommentar: App-tilladelser skræmmer brugerne

Illustration: Android Logo
En ny app fra Skat beder om adgang til fortrolige oplysninger i kalenderen. Er det harmløst, som Skat hævder? Slutbrugeren har ingen chance for at vurdere det.

Denne app vil have tilladelse til at kende din placering, læse dine kontakter, se din kalender, se alle dine billeder, læse dine sms-beskeder og vække Cthulhu.

Det er ikke usædvanligt at se sådan en liste over rettigheder, som en mobil-app beder om tilladelse til. Men for de brugere, som ikke blot klikker 'acceptér' uden at nærstudere kravene, så ser det skræmmende ud.

Tag nu for eksempel Skats nye app, som hurtigt kom i vælten på sociale medier, da Jesper Lund fra IT-Politisk Forening påpegede, at det så lidt underligt ud, at Skat bad om adgang til 'at læse kalenderoplysninger samt fortrolige oplysninger' og 'ændre eller slette indhold på USB-lager'.

Det er formuleringerne i webudgaven af Googles app-butik. På telefonen får man en lidt kortere beskrivelse.

Men hvorfor skal Skat have lov til at læse fortrolige oplysninger fra min kalender? Det er et ganske relevant spørgsmål, så det måtte Skat også svare på i en opdatering på Facebook.

Forklaringen er ifølge Skat, at én af funktionerne i appen er en virksomhedskalender, som kan minde dig om, hvornår det er tid til at indberette moms. For at Skat kan tilføje det til din kalender, så skal appen have en tilladelse, som altså har en alvorlig beskrivelse fra Googles side.

Tilsvarende skal appen kunne hente et såkaldt dagsbevis ned til privat kørsel i en bil på gule plader, og der har Skat valgt at bruge USB-lageret som cache. Det udløser en anden alvorligt lydende beskrivelse.

Skat er ikke alene med en app, der beder om rettigheder, der lyder groteske i forhold de forventninger, brugeren måtte have om appens funktionalitet.

Problemet er imidlertid, at det som bruger er svært at gennemskue, hvornår der er tale om en helt legitim grund til at bede om adgang til kontaktpersoner eller lokation, og hvornår der er tale om en app, der høster privatlivskrænkende oplysninger.

Google, Apple og Microsoft gør sådan set det rigtige ved at advare brugeren om, hvad der er det værste, der kan ske ved at give en app adgang.

Der er også mange app-udviklere, som formår at holde sig inden for rettigheder, som tydeligvis er harmløse, men det ser altså også ud til, at der er apps, hvor udvidede rettigheder er nødvendige for at understøtte basal funktionalitet.

Rettighederne er blevet mere granulerede, og i nyere mobilstyresystemer er det blevet muligt efterfølgende at fjerne dele af en apps rettigheder, så man ikke skal acceptere hele molevitten eller slet ikke kunne bruge appen.

Men det efterlader brugerne i en tilstand lige nu, hvor det er umuligt at vide, om Skat vil gennemrode din kalender for tegn på sort arbejde eller snyd med befordringsfradraget, eller om Skat virkelig bare vil minde dig om at indberette moms i god tid.

I praksis ved kun udvikleren, hvorfor appen beder om adgang til kalenderen. Og det er også kun udvikleren, der ved, om denne adgang nu også kun bliver brugt til det, Skat hævder, eller om der også bliver listet lidt ekstra med ind i appen.

Vi står altså i en situation, hvor app-udviklerne på deres side hævder, at det er ganske harmløst, når deres app beder om udvidede beføjelser, mens brugerne er nødt til at tage stilling til, om de stoler på app-udvikleren.

Det er godt, at brugerne bliver oplyst om, hvad en app reelt får adgang til. Men brugerne mangler et bedre redskab til at vurdere den risiko, de løber ved at klikke 'accepter'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Jensen

Det er en god opsummering af situationen. Det handler om tillid. Alt kan misbruges, og hvis vi vil forhindre misbrug effektivt, er en masse funktionalitet ikke muligt (fx at læse og skrive til en kalender). Problemet er bare, at det bliver misbrugt. Lommelygte apps der kræver 117 suspekte tilladelser, osv. Firmaer der sælger oplysninger om os.

Og har vi grund til at stole på fx. Skat? Har de højere moral end fx. VW? Vi har lige læst om hemmelige ransagninger - åbner en app fra Skat ikke en ladeport her?

Ja, vi kan vælge tillid, tro på det bedste i vores medmennesker, eller vi kan tro at hvor der er mennesker (og penge!) involveret, vil der også være misbrug.

  • 15
  • 0
Jesper Vandborg

Men hvorfor er det ikke muligt at bede om rettigheder til at skrive en kalenderen, uden at have rettigheder til at læse i den? Hvis man vil være sikker på det ikke clasher med noget andet, kunne man jo snildt lave sådan man kan få at vide der allerede er planlagt noget i kalenderen, men ikke hvad.

Der er mange muligheder. Jeg forstår ikke det her med det altid skal være alt eller intet...

(Det kan være det allerede er muligt, men i så fald, hvorfor bruger skat så ikke det?)

  • 16
  • 0
Bjarne Nielsen

Midt imellem "nej til alt" og "ja til alt", som der pt. er de eneste former for stillingtagen til app. rettigheder, så mangler jeg en "spørg mig, når det bliver nødvendigt".

Det kan helt sikkert forfines, og der er stadig vide muligheder for misbrug, men det er da en start.

  • 13
  • 0
Martin Jensen

I CyanogenMod er der en feature der hedder Privacy Guard. Det er netop det I efterspørger; det at man bare svarer 'ja ja' til det applikationen beder om, men når den forsøger at benytte sig af de givne privilegier, så vil Privacy Guard poppe frem og spørge om App'en skal have lov - og man kan svare pr. gang, eller bede den huske svaret. I en oversigt kan man yderligere se hvor mange gange, og hvornår sidst, et givent privilegie er brugt eller forsøgt brugt. Meget ligesom de 'personlige firewalls' til Windows for 10 år siden.

Det virker smart. Om App kan omgå dette, om det virker 100%, det ved jeg ikke, men jeg har det meget bedre med mere end 0 kontrol, og mere end 0 indsigt i hvad mine apps foretager sig.

(Og nej, I skal ikke sultne lede efter 'Privacy Guard' App for at få samme på Jeres telefon - der er kun scamware der kalder sig det i Play Store - det er mig bekendt kun som en OS del i CyanogenMod man kan finde det - måske også i andre ROM's.)

  • 11
  • 0
Casper Olsen

Midt imellem "nej til alt" og "ja til alt", som der pt. er de eneste former for stillingtagen til app. rettigheder, så mangler jeg en "spørg mig, når det bliver nødvendigt".


Hvilket er præcis det iOS gør, den kræver ikke adgang på forhånd når du vil installere et app. Derimod bliver man spurgt første gang, om man vil give det her app adgang til fx at sende en push beskeder (hvilket de fleste app beder om, første gang man starter dem).

  • 5
  • 0
Peter Kyllesbeck

Men hvorfor er det ikke muligt at bede om rettigheder til at skrive en kalenderen, uden at have rettigheder til at læse i den?


Godt spørgsmål!
Det har jo altid været god latin, at det at læse er mindre skadeligt end at skrive, men netop med mange nye funktioner, som f. eks. kalender, er det måske en god ting. Vi vil jo gerne mindes om at vi skal noget - uden at andre ved, hvad vi ellers skal.

  • 6
  • 0
Bent Rasmussen

Man burde i Android kunne køre en applikation selvom man nægter visse rettigheder. Man kunne f.eks. give adgang til en tom kalender, en støjkilde som kamera, en tilfældig lokation, osv. På den måde kan applikationen stadig køres men uden at den reelt er givet adgang til noget interessant.

  • 5
  • 0
Michael Westergaard

Det er en rigtig god pointe - specielt fordi det er en af de mest benyttede sikkerhedsmodeller (Bell–LaPadula modellen, som fx bruges af militaeret). Den siger basalt set at man maa skrive op og laese ned - man maa skrive data til et mere betroet lag men kun laese fra et mindre. Kalenderen er et mere betroet lag end skats app, internettet mindre. Modellen sikrer at fortrolig information ikke kan laekkes.

I det mindste lader det til, Android faar en sikkerhedsmodel, der er lidt mere som iOS', hvor rettigheder kan gives individuelt og kun naar de skal bruges.

  • 3
  • 0
Sebbe Selvig

Hvilket er præcis det iOS gør, den kræver ikke adgang på forhånd når du vil installere et app. Derimod bliver man spurgt første gang, om man vil give det her app adgang til fx at sende en push beskeder (hvilket de fleste app beder om, første gang man starter dem).

iOS er meget bedre end Android og Windows Phone. Ved ikke om de har et software patent siden de ikke gør det samme som Apple? Anyway, iOS spørger først når man vil bruge den givne tilladelse, et plus, men det ændrer ikke ved at man stadig giver tilladelse til alt eller intet. Ret frustrerende.

Jeg må prøve CyanogenMod, det lyder som et rigtig godt skridt i retningen mod den "perfekte" løsning, at man giver tilladelse pr. gang.

  • 4
  • 0
Casper Kjeldsen

Jeg læste netop at i Android 6, der skifter de rettighedsmodellen så den virker som i iOS, så der først spørges når funktionen benyttes, dvs. brugeren kan vælge at afvise anmodningen på netop kalender eller kontakt. Der er ingen tvivl om at det fungerer rigtigt godt på iOS, og at Android heldigvis følger med i samme fodspor.

  • 3
  • 0
Martin Bay Pedersen

"Vi står altså i en situation, hvor app-udviklerne på deres side hævder, at det er ganske harmløst, når deres app beder om udvidede beføjelser, mens brugerne er nødt til at tage stilling til, om de stoler på app-udvikleren."

I modsætning til de 20 år op til smartphone revolutionen? Nej. Sådan har det altid været med software. Eneste forskel er, at hr. og fru. Danmark nu bliver gjort opmærksom på situationen.

  • 6
  • 0
Rune Juhl Jacobsen

Til gengæld kan man lede efter XPrivacy efter at have installeret Xposed på sin rootede Android.

Jeg har selv en Android med Cyanogenmod og bruger Privacy Guard og AFWall+. For nyligt skulle jeg dog "sikre" hhv. en Samsung Galaxy Tab 10.5 og en Acer Iconia 8 og der er det ikke sådan lige til at få installeret Cyanogenmod.

I stedet er det muligt at roote begge. Xposed er et fantastisk stykke software der gør der muligt at erstatte funktioner i Android-APIet med uofficielle versioner, hvilket er præcis det XPrivacy gør. Dermed kan man få præcis den præcision ift. app-tilladelser som man har lyst til.

I det hele taget forstår jeg ikke hvorfor at producenterne af mobiler og tablets ikke gør mere ud af at slå sig på privacy. Den Acer Iconia virker som et udemærket stykke hardware, men mængden af bundlede apps er helt abnorm, og de bundlede apps er tilmed installeret som "system apps", hvilket vil sige at de har beføjelser ud over det sædvanlige. Det klarer "/system/app mover" heldigvis -- og så kan de efterfølgende slettes.

På min egen mobil har jeg også valgt at erstatte Googles "location-service" (der spørger Google om koordinater ud fra hvilke WLANs og mobilmaster mobilen kan se) med UnifiedNlp; en opensource løsning der blandt andet kan benytte Mozilla Location Services i stedet. Jeg har ikke nogen fidus til at Google ved hvor jeg er hver gang min vejr-app laver et opslag...

Xposed: http://repo.xposed.info/
XPrivacy: https://github.com/M66B/XPrivacy
AFWall+: https://f-droid.org/repository/browse/?fdfilter=afwall&fdid=dev.ukanth.u...
UnifiedNlp: https://f-droid.org/repository/browse/?fdfilter=unifiednlp&fdid=org.micr... (hvis man har Google Appps) eller https://f-droid.org/repository/browse/?fdfilter=unifiednlp&fdid=com.goog... (uden GAPPS)
/system/app mover: https://f-droid.org/repository/browse/?fdfilter=mover&fdid=de.j4velin.sy..., https://github.com/j4velin/SystemAppMover

  • 6
  • 0
Niels Jessen

Jeg håber, at andre end udvikleren ved, hvad der foregår i en app. Og selvom udvikleren ved, hvad der teknisk fungerer er det jo ingen forhindring for en person et andet sted i organisationen at bruge de acceterede muligheder til noget andet end de var tænkt til - af udvikleren eller af opgavestilleren.

  • 1
  • 0
Per Hansen

Jeg har altid syntes det var en mærkelig klassificering af rettigheder, Google har lavet i Android. Den er alt for grov. Kategorierne er alt for brede og indeholder alt for meget. Og det er grotesk, at de tænker at almindelige brugere skulle kunne tage stilling til, om lige netop den app virkelig har brug for netop de rettigheder. Selv kan jeg som mangeårig systemudvikler kun lige netop regne ud, hvorfor den pågældende app nok måske kunne tænkes at skulle bruge én af rettighederne i en gruppe af rettigheder. Stadig uden at vide med sikkerhed, at det faktisk er derfor. Men hvordan skulle almindelige brugere kunne regne det ud? Det kan de ikke. Så de accepterer bare, helt uden at forstå hvad de siger ja til.

Men med hensyn til granuleringen: Hvorfor give adgang til at læse kalenderoplysninger, hvis alt appen har brug for er at tilføje en aftale? Så lav da en rettighed, der hedder "Tilføje aftaler i din kalender". Og endda gerne stadig således, at styresystemet beder brugeren godkende, når det faktisk sker – så appen ikke kan spamme ens kalender. Og selv hvis appen har brug for at tilføje 52 aftaler til kalenderen, fordi det giver mening i den pågældende app, så kunne man jo svare "Ja, og giv rettigheden det næste minut" eller noget i den stil.

Har appen brug for at skrive filer til hukommelsen til backup? Så lav en rettighed, der hedder "Adgang til at skrive nye filer i hukommelsen (men ikke overskrive eksisterende og ikke læse eksisterende)". Gerne krydret med at man angiver, hvilken mappe dette må ske i.

Og tilsvarende med alle andre rettigheder.

Der bør være langt flere typer af rettigheder, og de bør ikke samles i grupper af rettigheder, man må give tilladelse til, selv om der kun er brug for en enkelt underrettighed. Der skal kun gives tilladelse til lige præcis de nødvendige rettigheder.

Desuden burde det være et krav, at dem, der skriver apperne, angiver en forklaring for hver eneste rettighed, appen kræver adgang til. Hvorfor skal den have adgang til netop dét?

Ikke at forklaringer nødvendigvis øger sikkerheden, for forklaringerne kunne jo sagtens lyve, men det ville alligevel øge opmærksomheden hos brugerne over for hvorfor det kunne give mening at apperne kræver lige præcis de bestemte rettigheder. Og nogle af os ville nok nogenlunde kunne afgøre, om vi synes det giver mening.

Desuden skulle det fra styresystemets side være muligt for brugeren, når vedkommende installerer en app, for hver enkelt rettighed at sige "nej, lige netop den rettighed vil jeg ikke give til den app". Og så må apperne indrette sig efter dét. Langt det meste af funktionaliteten i apperne vil stadig fungere fint. Og når apperne så støder på en situation, hvor de ønsker en rettighed, som brugeren har nægtet, så må de enten fortælle brugeren, at det ikke kan lade sig gøre fordi appen ikke har fået rettigheder til det, eller styresystemet kunne spørge brugeren om de ønsker at give den rettighed lige netop nu, som en engangshændelse, hvorefter det fortsat vil være nægtet appen at få adgang til den pågældende ressource.

Det kunne yderligere krydres med forskellige muligheder for at sige "Spørg mig ikke igen", så man enten kan nægte appen nogensinde bare at spørge om rettigheden igen eller give appen den pågældende rettighed for altid fremover – indtil man eventuelt tilbagekalder rettigheden i styresystemets indstillinger.

Tilsvarende ville det være lækkert, om styresystemet loggede alle situationer, hvor appen benyttede sig af sine rettigheder. Hvis situationerne bliver for mange for en app, så kunne loggen gå over til, for den pågældende app og rettighed, blot at registrere hvor mange gange, den pågældende app havde gjort brug af den pågældende rettighed. Denne log eller statistik skulle brugeren så kunne gå ind og se på når som helst for at se, om appen opfører sig ordentligt.

At Google ikke har lavet et system som dette på Android undrer mig virkelig.

Jeg har en "mistanke" om, at det er fordi de måske har bygget oven på nogle eksisterende muligheder i Linux, og at disse muligheder er ret grovkornede. Men jeg ved det ikke.

Uanset hvad har Google helt bestemt kræfterne til at gøre rettighedsstyringen langt bedre på Android. Og jeg tror endda det må kunne gøres på en måde, så dele af det også vil kunne fungere for ældre apper skrevet til tidligere udgaver af systemet.

  • 0
  • 0
Finn Ellebæk Nielsen

Fin artikel og mange gode kommentarer. Et andet eksempel er Rejseplanen. De vil gerne have adgang til at læse kontakter og til at læse, skrive og slette mediefiler.

De påstår at adgang til mediefiler er for at kunne lagre et Google-kort og kontakter for at man kan søge blandt kontakterne. Men selv om man ikke bruger disse funktionaliteter overhovedet kan man ikke installere app'en. Måske med Androids nyt feature med at spørge når behovet opstår?

  • 1
  • 0
Jonas Finnemann Jensen

Jeg er ikke android udvikler (eller app udvikler), men det tager ikke mange sekunder at konkludere at man kan give brugeren en knap til at tilføje events:
http://developer.android.com/guide/topics/providers/calendar-provider.ht...

Men skal burde nok istedet offentliggøre et iCal feed og bruge en intent til at få folk subscribed.

Det med SD kort adgang er heller ikke nødvendigt:
http://developer.android.com/guide/topics/data/data-storage.html#Accessi...
(ihvertfald ikke for nyere telefoner, og appen kan stadig være bagud kompatible).

Så handler det her ikke bare om at mange app udviklere ikke har respekt for hvad de beder brugerne sige OK til?

  • 1
  • 0
Nicolai Buch-Andersen

God artikel, men underlig timing.

Den største nyhed i Android 6.0 er "Runtime permissions" - man skal ikke længere at godkende alle tilladelserne, når en app installeres, men bliver i stedet spurgt, når tilladelsen rent faktisk skal bruges. Brugeren har mulighed for at give nogle tilladelser og nægte andre, samt at fortryde en tilladelse og slå den fra igen senere.

https://www.youtube.com/watch?v=f17qe9vZ8RM
https://www.youtube.com/watch?v=iZqDdvhTZj0

Android 6.0 (Marshmallow) blev officielt lanceret i går (d. 29/09/2015) og Google's egne Nexus telefoner vil begynde at modtage opgraderingen om en uge.

http://android-developers.blogspot.dk/2015/09/android-marshmallow-ready-...

  • 2
  • 0
lars christoffersen

Android 6.0 (Marshmallow) blev officielt lanceret i går (d. 29/09/2015) og Google's egne Nexus telefoner vil begynde at modtage opgraderingen om en uge

Problemet er bare de sidste 999 millioner telefoner aldrig bliver opgraderet, fordi sony, htc, samsung, etc er ligeglade. Og at nye versioner kun langsomt udbredes. Hele Android konceptet har simpelthen fejlet i den henseende.

  • 4
  • 0
Jesper Nielsen

Så handler det her ikke bare om at mange app udviklere ikke har respekt for hvad de beder brugerne sige OK til?

Mht. app-private storage, så er der dette at tage hensyn til:

Note: When the user uninstalls your application, this directory and all its contents are deleted. Also, the system media scanner does not read files in these directories, so they are not accessible from the MediaStore content provider. As such, you should not use these directories for media that ultimately belongs to the user, such as photos captured or edited with your app, or music the user has purchased with your app—those files should be saved in the public directories.

Det gør nok, at mange udviklere vælger at bede om den fulde tilladelse.

  • 0
  • 0
Mathias Bergstrup

Altså til en hvis længde kan jeg også selv være i forag over hvor meget tilladelse vi giver apps, men er det virkelig så slemt? Jeg ved godt jeg har en upopulær holdning, men hvis sider som google og facebook ser hvad vi laver, og sælger det til firmaer. Er det så ik fedt de laver reklamer baseret på algorytmer? Vi kan ikke undgå at se reklamer overalt, men hvis vi alligevel skal se reklamer konstant, så er det vel meget federe at det er reklamer de mener er relevant for mig. Jeg er mere bekymret for mine børn. Jeg ved godt jeg er lidt overbeskyttende, men tanken om at mine børn bliver 'targeted' af store firmaer skræmmer mig lidt. Især fordi det er mit kort der betaler alt det de ser i tv'et og på deres ipads. Jeg læste en lille artikel om det jeg mener der er af relevans, så jeg linker lige til den hvis nogen skulle være interesseret i at læse den

https://www.ewire.dk/markedsfoering-til-boern-hvor-er-graensen/

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize