Наскоро в светлината на прожекторите попаднаха три нови телефона за сигурност: Geeksphone Blackphone, Boeing Black, и Телефон за поверителност на FreedomPop.
Тези телефони поемат по подобни пътища за сигурност от това, което знаем досега. Те са заредени с криптиране, приложения за сигурност и други функции.
Но има поне две функции на поне един от тези телефони, които трябва да са стандартна част от Android.
Geeksphone Blackphone за $ 629, направен в партньорство с Silent Circle, използва раздвоена версия на Android, наречена PrivatOS. Първо, системата ви изправя пред избора, когато инсталирате приложение, което ви позволява да изберете точно какво лична информация е достъпна за всяко приложение - индивидуални разрешения за всеки източник на данни, което всяко приложение заявки. И второ, след като приложенията са инсталирани, „Център за сигурност“ позволява на потребителите да активират или деактивират конкретни разрешения за всяко приложение.
Защо тези две функции не са вградени в стандартен Android?
Компанията за антивирусен софтуер Avast разкри В петък приложението за Android за нощно виждане, наречено Cámara Visión Nocturna, регистрира потребителите за услуга за платени съобщения без тяхно знание или разрешение.
Приложението събира телефонни номера от WhatsApp и други приложения за съобщения и ги регистрира за платена услуга за съобщения, което им таксува $ 2,80 на сесия. Някои потребители бяха таксувани до 50 долара на месец. Не ми е ясно как се е случило това таксуване, но вредата вече е била нанесена, докато изследователите са разбрали за това.
Използването на привидно законни приложения, съдържащи тайни функции, които ограбват или нарушават потребителите, изглежда е нарастваща индустрия. Наборите от инструменти за отдалечен достъп или RAT са проблем от години, но са насочени към потребители в Китай и другаде в Азия.
Тази седмица изследователи откриха плъх, наречен Дендроид, което помага на потенциалните дистрибутори на зловреден софтуер да се насочат към американски и европейски потребители. Той е предназначен да скрие злонамерен код вътре в иначе легален софтуер за приложения за Android.
Интересна особеност е, че контролният панел за Dendroid се хоства на виртуални частни сървъри. Това е „зловреден софтуер като услуга“.
Dendroid струва 300 долара и се предлага както с 24-часова техническа поддръжка, така и с гаранция, че няма да бъде открита. Създателят му, който носи името „Футбол“ във форумите, твърди, че софтуерът може да записва телефонни разговори и текстове, да изтегля снимки от телефони и записвайте аудио и видео, правете снимки чрез камерите на телефоните, обаждайте се на телефонни номера, изтривайте регистрационните файлове на отваряне, отваряйте приложения и инициирайте отказ на услуга атака.
Според съобщенията Dendroid е проектиран да се изплъзне покрай контрола на Google Play Store (който се нарича Bouncer).
Всичко това звучи ужасно, но специалистите по мобилна сигурност не очакват Dendroid да бъде основна заплаха в действителност, главно защото беше открит и че сега, когато индустрията за сигурност и Google знаят за това, те могат да направят нещо по въпроса то.
Притеснителното е, че Dendroid представлява нова тенденция на високопрофесионални, много способни инструменти за злонамерен софтуер „всичко в едно“ за Android.
Има и проблем със събирането на данни, който не е точно зловреден софтуер.
Доклад от миналата година на Центъра за данни на Китай Интернет (DCCI) установи, че близо 35 процента от изследваните от него приложения за Android събират потребителски данни, които не са свързани с целта на приложението.
Проблемът съществува и извън Китай, въпреки че средно вероятно е значително по -добър за приложенията в Play Store. Най-известният случай беше Най -яркото фенерче на GoldenShores Technologies.
Ясно е, че потребителите на Android са изложени на голям риск за бъдещата поверителност, сигурност и финанси нарушение от привидно законни приложения, които тайно съдържат полезен товар от зловреден софтуер, предназначен да злоупотреби с доверието на потребителите.
Ето защо Google трябва да добави две функции от PrivatOS на Geeksphone Blackphone:
- Функция, която изправя потребителя пред предоставянето или отказването на разрешение за всяко действие, нарушаващо поверителността, което приложението може да предприеме. Ако разработчиците на приложения искат потребителите да завършат инсталирането, вместо да се откажат, тъй като е твърде трудно да продължите, те трябва да сведат до минимум или да премахнат функциите, нарушаващи поверителността.
- Функция, която осигурява ясен и изчерпателен „Център за сигурност“, където по всяко време се разкриват всички разрешения за нарушаване на поверителността и могат да бъдат включени или изключени индивидуално.
Разбира се, приложения на трети страни като NoRoot защитна стена направи нещо подобно. Но те ще се използват само от крайно малцинство потребители.
Време е Google да засили и защити потребителите с тези две функции, които минимално продуктови потребители на ниво ОС. Потребителите не трябва да търсят екзотични телефони или неясни приложения, за да могат да предоставят или откажат разрешения за поверителност на телефоните си с Android.
(Снимката е предоставена от любезното съдействие на SoftAndApps.info)
