Nemůžu si pomoct, ale pro BFU není povolení instalace aplikací z neznámých zdrojů (o rootu ani nemluvě) užitečná k ničemu jinému, než k pirátění a pak dobře jim tak.
Ano, pokročilý uživatel najde spoustu zajímavých použití, ale ten by si měl zase uvědomovat potenciální rizika.
Já třeba root i neznámé zdroje aktivní mám, ale také neinstaluju každou blbost a za aplikace poctivě platím, a když někdo nenabízí koupi aplikace na Play, raději jdu jinam.
Na požadovaná práva se nemůžu ohlížet, když každá druhá aplikace chce všechno, včetně zavedení anální sondy uživateli.
Jenže Google sám je proti tomu, aby byl uživatel schopný nepotřebná práva zakázat a nechat systém, aby aplikaci v těchto případech předhazoval fiktivní data.
jak moc uzitecny je antivirovy program jsem videl vcera pri masivnim emailovem utoku s rozesilanym virem. Ani jeden anivirovy program nezareagoval vcas a aktualizace vysly az po 3 a vice hodinach kdy uz bylo prakticky po vsem. Antiviry tak jak jsou ted jsou mrtve a uz se jedna pouze o marketing !
Jo, mají to tam hoši blbě. Práva aplikace by měla být
1. vyžadovaná (když to nepůjde, tak to nebude fungovat vůbec)
2. nevyžadovaná (když to nepůjde, tak nějaká fíčura nebude fungovat)
Jako třeba nějaká mapová aplikace by mohla mít v kategorii 2 Internet (mapa může být offline), přístup na SD kartu (mapa se může tahat odjinud) GPS (uživatel si mapu jen prohlíží) atd. atd.
Každá druhá složitější aplikace prostě musí vyžadovat tisíce oprávnění, ale 90% z nich není klíčových.
Takže práva druhého typu (aplikace by v AndroidManifest.xml deklarovala, co je 1. a co 2. typ) by měla jít uživatelem zakazovat snadno, práva prvního typu taky, ale jen s rudým varováním, že si uživatel říká o malér a že mu to pak asi fungovat nebude.
Jak už bylo zmíněno - Xprivacy, Pdroid nebo LBE atd.
Jistě, vyžadují Root, takže pro většinu uživatelů problém.
Domnívám se, že Google není bohužel ochotný akceptovat takový software v zařízeních spolupracujících výrobců. Důvod zřejmý - možnost blokovaní reklamy a dalších odesílánych dat...
Ono neco by to zrejme chtelo, ale oprvadu funkcniho. Setkal jsem se nedavno s klientem, kteremu zamerne byla pres SMS do anroida podsouvana aplikace z neznameho zdroje, SMs chodily z UK a aplikace seznam-search byla z IP umistene na Ukrajine. Puvodne slo o zavirovany desktop, ktery jej nepustil do emailu na seznmu a neustale mu po prihlaseni do schranky zasilal tuto SMS s odkazem. Nemel jsem to dal vic zkoumat, ale slo zrejme o cileny utok primo na vybraneho cloveka, co mel reklamu s emailem i tel. cislem na Internetu. Screenshoty i IP jsem ulozil pro dasi pouziti. Na Internetu o tomto nikde nani zminka.
Antiviry jsou nanic... A navíc v androidu. Pokud tam nemáte root, tak se pořádný firewall udělat nedá, a zbytek vám je k ničem. Když jsem měl placený antivir na počítači, tak jsem měl vir pomalu každý měsíc, pak mě došla licence, tak jsem se na to vykašlal a už 2 roky jsem vir nechytil.
Což je v pořádku, protože jde o to, aby to bylo nastavené správně, ne o to, aby se v tom každý mohl vrtat. Funguje to na lety prověřeném principu dělby práce, kdy jeden umí lépe to a druhý zase ono, tak každý dělá to své a pak si výsledky své práce vymění podle potřeby. Pokusy, kdy automechanik si píše svůj vlastní bezpečný OS a programátor vyrábí své vlastní bezpečné auto, bývají úspěšné málokdy.
To je dost podstatný rozdíl, nemyslíte?
Podstatny rozdil je predevsim v tom, ze u desktopovych OS mam kontrolu nad vsim diky pristupu na administratorsky ucet (bez "rootnuti" a podobnych praktik). Coz povazuji za elementarni prvek bezpecnosti. Je hezke se opajet jakousi isolaci dat aplikaci, kdyz ani nevim co mi je vlastne spravuje.
Na Androidu se žádný cizí kód s vyššími právy nespouští.
Coz prave nemate sanci si bezne overit.
A posledni vec, Android je produkt firmy, ktera ma svuj byznys zalozen predevsim na ziskavani osobnich udaju a prodeji cilene reklamy. To uplne staci k tomu necemu takovemu neduverovat.
To me nezajima kolik uzivatelu to vi, me zajima ze to vim sam.
Delam proto to, ze se podivam co kde bezi (pripadne to odstranim) a zaroven si spravne nastavim Software Restriction Policy (ktera existuje uz od Windows XP Pro) a ta prave zabranuje tomu, aby se nejaky kod spustil odjinud nez z adresaru, kam neni pod uzivatelskym uctem pravo pro zapis. Typicky tedy kdyz diky chybe prohlizece nebo pluginu se povede ulozit spustitelny soubor nekam do temp adresare. Tohle http://www.mechbgon.com/srp/ si dovolim tvrdit eliminuje 99% vsech moznych utoku a nevyzaduje zadny (stejne nanic) antivir.
Ze se pri instalaci (desktopove) aplikace spousti kod mi nijak nevadi. Ohledne mobilnich "aplikaci", vzdyt jsou to vetsinou blbosti, jen zabaleny prohlizec. Tahle moda "aplikaci" co jsou vlastne jednotlive webove stranky me zcela odpuzuje od mobilnich OS. Nastesti se da dnes poridit maly tablet s plnohodnotnym desktopovym OS.
Ta práva takhle jsou. Akorát se to necpe vše do jedné aplikace, ale ty části vyžadující další oprávnění se udělají jako pluginy (samostatné aplikace) – což dává větší smysl a je to bezpečnější. Akorát že programátoři na to většinou kašlou a nacpou vše do jedné velké aplikace (odstrašujícím příkladem je aplikace Facebooku, což je jeden obrovský balík, který má umět všechno a vyžaduje práva na všechno).
Tak si to porovnejme. Pod Windows, OS X, Linuxem i *BSD běží všechny aplikace uživatele s právy tohoto uživatele, takže mohou číst a zapisovat všechny soubory, ke kterým má uživatel práva. K čemu potřebují třeba hodiny na ploše mít možnost číst soubor s uloženými hesly Firefoxu? Takže klasický postup, uživatel si spustí nějaký vir nebo malware, ten si přečte hesla z webových prohlížečů, přečte hesla z FTP klientů a rovnou se nainstaluje na weby, ke kterým má ty FTP přihlašovací údaje, aby se mohl dál šířit.
Jak to vypadá na Androidu? Tam běží každá aplikace pod vlastním uživatelským účtem, takže nějaký vir se klidně může pokusit přečíst soubory bankovní aplikace, ale má smůlu, protože ho k nim operační systém nepustí.
To je dost podstatný rozdíl, nemyslíte? Na Linuxu něco takového můžete nasimulovat se SELinuxem, ale hádám, že vám to dá dost práce.
Další věc je třeba instalace programů. Na Windows i na Linuxu spustíte kód instalačního programu s vyššími právy - na Linuxu s právy superuživatele, na Windows donedávna také, dnes už je míň super. Na Androidu se žádný cizí kód s vyššími právy nespouští.
Máte nějaký opačný příklad? Máte příklad toho, jak může nějaká aplikace v mobilu ohrozit bankovní aplikaci?
Právě přístup na administrátorský účet je ovšem to největší bezpečnostní riziko. Administrátorský přístup žádnou bezpečnost nepřináší, je to pouze možnost bezpečnosti. A kolik uživatelů asi ví, jak té možnosti správně využít? Co vy sám s desktopovým OS pro tu bezpečnost pod administrátorským účtem děláte? Praktická bezpečnost systému nezávisí na tom, co by v systému expert mohl nastavit, ale na tom, jak je to přednastavené od výrobce/distributora.
To, že se při instalaci aplikace nespouští z instalačního balíčku žádný kód s vyššími právy zjistíte velice snadno – v .apk neí žádný prostor pro kód, který by se s vyššími právy při instalaci spustil.
Já používám řešení od avastu, ale upřímně jen kvuli anti-theftu a zámku aplikací jako nastavení, obchod, sms, správců a terminal emulatoru. Chlubí se i tím, že se umí tak šikovně zažrat, že ani rom flash by ho neměl obejít, tak snad to někdy bude co k čemu... zatím jediná dobrá featura je, že můžu kamarádum ukazovat "cool" featury typu rozhoukání, ovládání a lokalizaci na dálku z PC.
Internet Info Lupa.cz (www.lupa.cz)
Server o českém Internetu. ISSN 1213-0702
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.