Sikkerhedsfirma advarer mod lommelygte-apps til Android

En lang række lommelygte-apps til Android kompromitterer telefonens sikkerhed ved at få adgang til vigtige funktioner som GPS, systemindstillinger og skærmlås, viser rapport.

Der er god grund til at være på vagt over for lommelygte-apps til Android.

Man kan undre sig over, hvorfor en app, der kun sørger for at tænde og slukke for LED-lyset på en smartphone, skal have adgang til at ændre på telefonens systemindstillinger eller lokalisere brugeren ved hjælp af GPS’sen.

Ikke desto mindre er det tilfældet for en lang række lommelygte-apps til Android, som er blevet gennemgået af mobilsikkerhedsfirmaet Snoopwall.

Flere af de omtalte apps, ser ud til at være designede efter at samle og blotlægge fortrolige informationer om brugerne til it-kriminelle ifølge rapporten.

Blandt de ti mest populære lommelygte-apps, er der ikke én, som kun har adgang til at styre appens vigtigste funktion: LED-lyset på telefonen. Samtlige apps kræver, når de bliver installeret, adgang til en mængde andre funktioner på telefonen, der ikke umiddelbart har noget at gøre med at styre lyset.

Tre af de gennemgåede apps har eksempelvis adgang til at ændre på telefonens systemindstillinger, og ligeledes har tre apps adgang til brugerens præcise position ved hjælp af GPS’en.

Fem apps har desuden adgang til telefonens IMEI-nummer og anden information om telefonens identitet.

Den app, der kræver adgang til de fleste funktioner, er Super Bright LED Flashlight.

Windows og iOS-apps skulle ikke være lige så eksponerede for misbrug som Android-apps ifølge Snoopwall.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kirk

... Og installere "App Opp" som er et rettighedsprogram som Google/Android selv har lavet - men glemt at lave en genvej til.

Med dette program kan man selv styre hvad hver enkelt app må og ikke må !

App-Permissions på alle mobil platforme er et fuldstændig ukontrolleret cirkus som
I DEN GRAD trænger til at få vendt bunden i vejret !

Hvis man har Root'et sin telefon skal man også lige huske at installere SuperSU som er et UAC program. Det spørger dig hver gang et program vil have Root adgang.

  • 11
  • 1
Jan Gundtofte-Bruun

Det er så nemt at se, hvad en app kræver af rettigheder (og lagerplads). En lommelygte-app med adgang til min telefonbog? Niks. En fødselsdags-reminder-app der fylder 23Mb? Niks. Og så videre.

Det er desværre igen den kritiske sans og sunde fornuft, der er den sande mangelvare. Men med til historien hører, at de fleste telefoner sælges med bloatware som kan alt, alt for meget. I gamle dage (måske stadig?) kom HTC telefoner med en "Stocks" app som måtte alt, og den kunne ikke fjernes. Det er nok lidt under flertallet af HTC-brugere, som reelt ønsker at følge løbende med i aktie-markedet.

Skyd ikke (kun) på godtroende brugere, skyd også på bruger-uvenlige producenter.

  • 6
  • 1
Milos Game

Det er ærgerligt at de ikke også har TeslaLED med i sammenligningen, da det ville have været god reklame for app'en, der faktisk bare gør det den skal.
Permissions er:
1. take pictures and videos
2. control flashlight
3. prevent device from sleeping
4. draw over other apps

Punkt 1: Flash'en er en del af kameraets API (hvis jeg ikke tager fejl), så app'en skal have adgang til kameraet.

Punkt 2: Styring af Flash'en, da app'en kan en masse forskellige ting som tidsbestemte intervaller, morse osv.

Punkt 3: Man har muligheden for at bruge skærmen som lommelygte, ved at gøre skærmen hvid, sætte lysstyrken op og forhindre at skærmen slukker, hvis man ikke har en rigtig flash i enden.

Punkt 4: ved jeg ikke hvad er til, måske en funktion jeg ikke bruger.

  • 4
  • 0
Martin Kirk

Det er så nemt at se, hvad en app kræver af rettigheder (og lagerplads). En lommelygte-app med adgang til min telefonbog? Niks. En fødselsdags-reminder-app der fylder 23Mb? Niks. Og så videre.

Det er desværre igen den kritiske sans og sunde fornuft, der er den sande mangelvare. (bla bla bla)

Men ehm... Hvis nu man gerne vil have Facebook og Facebook Messenger, så findes der jo ikke rigtig nogen alternativer !

Her er løsningen at Root sin telefon og indstille hvad App'en må med 'App Opp'

Dit svar er uden tvivl: "Så lad helt være med at installere facebook, hvis du ikke er enig med deres permissions"

Og igen: Hvad er alternativet?, Folk som ikke kan Root osv, er nødt til at vælge mellem pest eller kolera.

Med hensyn til Flashlight apps, så vælger jeg den App som er pænest og som fungere bedst. Permissions er det sidste jeg kigger på (ligesom de fleste andre).


Når jeg snakker med Android udviklerne på kontoret, er deres svar på hvorfor det står så grelt til. Er det fordi man på Android meget hurtigt kan komme til at skrive noget kode som kræver nogle Dependencies, uden man selv er klar over det. Og hvis man ikke tester hvilke Dependencies man kræver, så kommer man hurtigt til at lave en App som kræver adgang til næsten ALTING. Det er derfor heller ikke sikkert at App udvikleren er ondsindet, oftest er det bare dårlig kode.

  • 0
  • 3
Esben Laursen

... Og installere "App Opp" som er et rettighedsprogram som Google/Android selv har lavet - men glemt at lave en genvej til.

Med dette program kan man selv styre hvad hver enkelt app må og ikke må !

Du skal bare lige huske at der er MANGE andre rettigheder som du heller ikke kan styre via app-opp..

Der skal du bruge programmer som "Permission Denied" (https://play.google.com/store/apps/details?id=com.stericson.permissions....), men det kræver selvfølgelig at du stoler på at de ikke roder rundt i dine data, da den jo vil ha root adgang..

  • 2
  • 0
Milos Game

Hej Jesper,
Så vidt jeg ved kræver widgets ikke en "draw over other apps" permission. Denne permission handler om at kunne tegne på selve skærmen, f.eks skræddersyede dialogbokse og har ikke rigtigt noget med de andre apps at gøre.

  • 0
  • 0
Hans Schou

De nævnte access-krav fra disse lygte-apps er nærmest småting sammenlignet med KlicK. Her kan man virkelig tale om at sælge sin sjæl (til den kinesiske efterretningstjeneste). Jeg valgte at unlade at installere denne app, for det var lige i overkanten.

  • 0
  • 0
Esben Laursen

Og hvis man ikke tester hvilke Dependencies man kræver,

Så skulle man måske gøre det... og være lidt kritisk, eller er det jo bare dårlig kode fra en doven programmør..

Nej Hr. betjent, jeg så ikke jeg kørte for stærkt, jeg havde ikke lige tid til at kikke på speedometeret og speederen er jo så nem at træde på.. Så det er jo ikke min skyld, snak med bil producenten og få dem til at gøre det svære at køre for stærkt... Eller hva?

--
Esben

  • 3
  • 0
Milos Game

Hej Martin,

Der er desværre en del forkerte ting i dit indlæg :-)

  1. Der findes andre Facebook apps end den officielle fra virksomheden Facebook. Se feks FriendCaster. Hvis du ikke er meget for at installere en Facebook-apps, der har adgang til en masse ting på din telefon, så kan du nøjes med deres mobile website.

  2. Man bestemmer selv ens prioritering med hensyn til apps, men generelt er det meget dumt at nedprioritere permissions og opprioritere look & design, da du så skaber et sikkerhedsproblem. Udnyttelsen af dette kan gå ud over dem du feks har i din kontaktbog, din netbank app bank, SMS'er, mails, osv. Jeg vil venligst bede dig droppe den adfærd omgående.

  3. Permissions er ikke noget der automatisk lægges ind i app'en af udviklingsmiljøet, men det er noget du selv skal tilføje. Hvis du er i gang med at udvikle en app der kan hente noget fra nettet, men ikke tilføjer internet-permission, så crasher app'en fuldstændigt. Den eneste måde at forhindre at app'en crasher, er at tilføje internet-permission, som brugeren skal acceptere ved installationen.
    Det er nemt, eller bare ikke svært, for udvikleren at nøjes med at tilføje de krævede permissions, og man kommer aldrig til "hurtigt at lave en app der adgang til næsten alt".

  • 1
  • 0
Milos Game

Hej Martin,
Angående Zerone Mobile Inc's FlashLight widget, så kræver den 2 permissions, som ikke er en del af kernen i app'en, hvilet er lommelygte:
* Full network access
* View network connections

Disse 2 permissions skyldes nok reklamer i app'en, men de gør samtidigt app'en mindre sikker end TeslaLED.
I øvrigt så har TeslaLED også en widget, hvis du gerne vil have det.
TeslaLED: https://play.google.com/store/apps/details?id=com.teslacoilsw.flashlight

  • 3
  • 0
Log ind eller Opret konto for at kommentere