OnePlus: Derfor kræver vores app til kontaktpersoner adgang til lokation

30. oktober 2019 kl. 05:037
OnePlus: Derfor kræver vores app til kontaktpersoner adgang til lokation
Illustration: Jakob Møllerhøj, screenshot.
Den indbyggede app i OnePlus-telefoner kræver på Android 10 adgang til lokationsdata for at fungere. Det var ikke nødvendigt på Android 9.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den indbyggede ‘Contacts’-app på OnePlus-telefoner med Android 10 kræver adgang til telefonens lokation for at fungere. Umiddelbart kan det være svært at forstå, hvad sådan en app skal med telefonens position.

I OnePlus’ egne fora undrer flere brugere sig over, hvad OnePlus-appen skal med telefonens position for at vise en liste over kontaktpersoner.

Ifølge OnePlus er formålet automatisk at kunne tilføje regionale informationer til et telefonnummer.

»We enable the location so that the contact app can identify the number users put in accurately and add region number automatically,« lyder det i et skriftligt svar fra virksomheden til Version2.

En stikprøve

Version2 har konstateret, at OnePlus' kontakt-app kræver lokationsadgang for overhovedet at starte op på henholdsvis en OnePlus 7 og en OnePlus 7 Pro med Android 10.

På en OnePlus 6T og OnePlus 6 med Android 9 ønsker appen også lokationsadgang, men hvis brugeren nægter dette, så kan appen stadig startes op.


At dømme ud fra det skriftlige svar fra OnePlus handler det altså umiddelbart om at kunne tilføje regionale informationer til et telefonnummer automatisk. Måske tænkes der på +45 til et dansk nummer.

Artiklen fortsætter efter annoncen

Af svaret fra OnePlus fremgår det dog ikke, hvorfor lokationsadgang er påkrævet for at app’en overhovedet vil starte på Android 10, mens samme app starter op på Android 9, selvom lokations-adgang er afvist.

Version2 har stillet opfølgende spørgsmål til OnePlus for at opklare dette.

Lommelygte-apps

Udover de indbyggede Google-apps, som mange Android-telefoner er udstyrede med, så kommer enhederne ofte også med flere af mobilproducenternes egne apps.

Producent-apps kræver - ligesom dem fra Google - en varierende grad af rettigheder på telefonen, som giver adgang til forskellige brugerdata.

Mens nogle app-rettigheder i konteksten giver mening, så kan det til tider være svært at få øje på pointen med andre rettigheder - altså udover at skaffe potentielt værdifulde brugerdata til producenten af app'en.

Standard-appen til håndtering af kontaktpersoner fra OnePlus (tv) minder om den fra Google med samme navn (th). Contacts-appen fra Google kræver dog ikke adgang til telefonens lokation for at fungere på en OnePlus med Android 10.

I september i år udgav sikkerhedsvirksomheden Avast en rapport indeholdende en gennemgang af lommelygte-apps.

Her identificerede sikkerhedsforskeren Luis Corrons 262 apps, som kræver 50 tilladelser og opefter. Altså for at få telefonen til at agere lommelygte. Siden Android Lollipop, som udkom i 2014, har lommelygte-funktionen været indbygget i styresystemet, så i princippet har det slet ikke været nødvendigt med en tredjeparts-app.

Corrons kalder i rapporten området for en stor gråzone. Og han påpeger, at selvom apps ikke agerer direkte ondsindede, så er det ikke ensbetydende med, at tredjeparter ikke gør brug af de udvidede rettigheder til at høste data med.

»It is therefore imperative that users carefully check the permissions an app requests, before installing the app,« lyder opfordringen fra Corrons.

Den danske it-sikkerhedskonsulent Jacob Herbst fra Dubex er enig i, at det altid er en god idé at forholde sig til de rettigheder, en app ønsker på telefonen. Og i den forbindelse ser han en positiv udvikling inden for mobile styresystemer:

»Helt generelt er det rigtig, rigtig godt at mobiloperativsystemerne bliver bedre i deres håndhævelse af app-rettigheder – det giver os forbrugere en væsentlig bedre beskyttelse af vores privacy på deres platforme. Det gør også at de apps som måske har været lidt for flittige til at samle information som de ikke har brug for rent faktisk bliver opdaget og blokeret – og det tvinger udviklerne til at være mere omhyggelige mht. hvilke rettigheder som deres apps efterspørger. OG det gør livet meget sværere for de apps der befinder sig i gråzonen fx i forhold til dataindsamling,« skriver Herbst i en mail.

Her er en lille video, der viser, hvordan Contacts-appen fra OnePlus på en OnePlus 7 Pro med Android 10 nægter at starte uden location-adgang.

Remote video URL

Artiklen er opdateret med et svar fra OnePlus og en kommentar fra Jacob Herbst.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
1. november 2019 kl. 08:41

"Version2 har konstateret, at OnePlus' kontakt-app kræver lokationsadgang for overhovedet at starte op på henholdsvis en OnePlus 7 og en OnePlus 7 Pro med Android 10."

Det kunne være ret interessant at checke hvad kontakt-appen gør, hvis man ændrer på telefonens GPS placering med f.eks. Fake GPS appen (https://play.google.com/store/apps/details?id=com.incorporateapps.fakegps.fre&hl=en_US).

Mit gæt er: Der sker absolut intet, og kontakt-appen fungerer helt upåvirket uanset om man "GPS anbringer" telefone i nordsverige eller i Australien.

Ideen til eksperimentet er hermed videregivet. Er mit gæt rigtigt, må HTC komme op med en anden forklaring på hvad de så skal bruge lokationsadgang til.

6
1. november 2019 kl. 08:11

For at få adgang til information om basestationen (herunder hvilket land den tilhører) skal man have tilladelse til at tilgå "location" på Android.

For at få adgang til roaming information, som du f.eks. kan hente i class TelephonyManager, kræver det kun READ_PHONE_STATE permission at bruge f.eks. TelephonyManager.getNetworkCountryIso() og TelephonyManager.getSimCountryIso().

Basalt set er det de eneste oplysninger du har brug for, til at håndtere telefonnummerinformation korrekt.

Du har ret i, at hvis du f.eks. bruger getCellLocation() kræver det ACCESS_COARSE_LOCATION eller ACCESS_FINE_LOCATION rettigheder, men det er ikke noget som giver mening i forhold til den forklaring HTC har givet. GetCellLocation() er i øvrigt det eneste i TelephonyManager som kræver disse rettigheder.

5
31. oktober 2019 kl. 14:56

For at få adgang til information om basestationen (herunder hvilket land den tilhører) skal man have tilladelse til at tilgå "location" på Android.

Logisk? Nej; men det er ikke en selvfølge, at de bruger GPS blot fordi de har bedt om tilladelse til lokationsservices!

4
30. oktober 2019 kl. 13:18

»We enable the location so that the contact app can identify the number users put in accurately and add region number automatically,«

Nej, det kan ikke passe. Eller rettere, det kan sagtens være undskyldningen for at snage i lokationsdata på telefonen, men det har intet med landekode / predial at gøre.

Landekoden og beslutningerne om hvad der skal eller ikke skal sættes foran numrene i kontakter, kommer fra de roaming informationer telefonen modtager fra det teleselskab som betjener telefonen. Det er det telefonen bruger til at bestemme hvilket land man er i.

Det vil være for usikkert at bruge GPS koordinaten til den beslutning, da man i grænseregioner, sagtens kan befinde sig i et land, men være betjent af teleselskaber i et andet. Predial bestemmes ud fra hvor man er roamet, ikke ud fra hvor telefonen fysisk befinder sig.

Se i øvrigt her, hvordan man meget enkelt kan snyde telefonens GPS: https://youtu.be/ApyvmCiGvyc

3
30. oktober 2019 kl. 07:59

Løsningen er linageos. Hertil kan nævnes at et batteri skifte på min 1+2 gør at jeg forventer at beholde min telefon fra 2015 i yderligere 2-3 år.

2
30. oktober 2019 kl. 07:47

Før i tiden var det ofte sådan at billige telefoner trackede noget mere. Det var den måde de holdt prisen på telefonen i bund. Mange kinesiske producenter gør det. Det er egentlig ikke urimeligt, hvis folk er oplyste om det.

Det problematiske og nye er at fyre producenter også gør det, og i højere grad holder det hemligt.

1
30. oktober 2019 kl. 07:32

Det er vel bare 1+ der vurderer, at shitstormen fra nov 2017 har lagt sig, og nu vender tilbage normal opførsel.

Normal opførsel fra 1+ er at logge al bruger adfærd på telefonerne, og periodisk sende de logs tilbage til 1+.