Tre nye sikkerhetstelefoner har kommet i søkelyset den siste tiden: The Geeksphone Blackphone, Boeing Black, og FreedomPops personverntelefon.
Disse telefonene tar lignende veier til sikkerhet, fra det vi vet så langt. De er lastet med kryptering, sikkerhetsapper og andre funksjoner.
Men det er to funksjoner på minst en av disse telefonene som burde være en standard del av Android.
$ 629 Geeksphone Blackphone, laget i samarbeid med Silent Circle, bruker en gaffelversjon av Android kalt PrivatOS. Først konfronterer systemet deg med valg når du installerer en app, slik at du kan velge nøyaktig hva personlig informasjon er tilgjengelig for hver app - individuelle tillatelser for hver datakilde som hver app forespørsler. Og for det andre, etter at apper er installert, lar et "Sikkerhetssenter" brukere aktivere eller deaktivere spesifikke tillatelser for hver app.
Hvorfor er ikke disse to funksjonene innebygd i standard Android?
Antivirusprogramvareselskapet Avast avslørt Fredag at en nattsyn Android -app kalt Cámara Visión Nocturna har registrert brukere for en betalt meldingstjeneste uten deres kunnskap eller tillatelse.
Appen har høstet telefonnumre fra WhatsApp og andre meldingsapper og registrert dem for en betalt meldingstjeneste, som fakturerte dem $ 2,80 per økt. Noen brukere ble belastet opptil $ 50 per måned. Det er ikke klart for meg hvordan denne faktureringen skjedde, men skaden ble allerede utført da forskerne fant ut om det.
Bruken av tilsynelatende legitime apper som inneholder hemmelige funksjoner som raner eller krenker brukere, ser ut til å være en industri som vokser. Verktøy for ekstern tilgang, eller RAT, har vært et problem i årevis, men har hatt en tendens til å målrette mot brukere i Kina og andre steder i Asia.
Denne uken har forskere avdekket en RAT kalt Dendroid, som hjelper potensielle distributører av skadelig programvare til å målrette mot amerikanske og europeiske brukere. Den er designet for å skjule ondsinnet kode inne i ellers legitim Android -appprogramvare.
En interessant funksjon er at kontrollpanelet for Dendroid ligger på virtuelle private servere. Det er "malware som en tjeneste."
Dendroid koster $ 300 og kommer med både døgnåpen teknisk støtte og en garanti for at den ikke blir oppdaget. Skaperen, som går under navnet "Fotball" på forumet, hevder at programvaren kan ta opp telefonsamtaler og tekster, laste ned bilder fra telefoner og ta opp lyd og video, ta bilder gjennom telefonens kameraer, ringe telefonnumre, slette anropslogger, åpne applikasjoner og starte en tjenestenekt angrep.
Dendroid er angivelig designet for å glide forbi Googles Play Store -kontroll (som kalles Bouncer).
Alt dette høres fryktelig ut, men mobile sikkerhetsspesialister forventer ikke at Dendroid vil være en stor trussel i virkeligheten, hovedsakelig fordi det ble oppdaget og at nå som sikkerhetsindustrien og Google vet om det, kan de gjøre noe med den.
Det som er bekymringsfullt er at Dendroid representerer en ny trend med svært profesjonelle, meget dyktige alt-i-ett-malware-verktøy for Android.
Det er også problemet med datainnhenting som ikke akkurat er skadelig programvare.
En rapport i fjor av Data Center of China Internet (DCCI) fant at nesten 35 prosent av Android -appene den undersøkte, fanget brukerdata som ikke var relatert til formålet med appen.
Problemet eksisterer også utenfor Kina, selv om det sannsynligvis i gjennomsnitt er betydelig bedre for Play Store -apper. Saken med den høyeste profilen var GoldenShores Technologies ’lyseste lommelykt -fiasko.
Det er klart at Android -brukere har stor risiko for fremtidig personvern, sikkerhet og økonomi brudd på tilsynelatende legitime apper som hemmelig inneholder nyttelast for skadelig programvare designet for å misbruke tilliten av brukerne.
Derfor må Google legge til to funksjoner fra Geeksphone Blackphone's PrivatOS:
- En funksjon som konfronterer brukeren med å gi eller nekte tillatelse for hver handling som krenker personvernet appen kan utføre. Hvis apputviklere vil at brukerne skal fullføre installasjonen i stedet for å gi opp fordi det er for vanskelig å fortsette, må de minimere eller eliminere personvernerkrenkende funksjoner.
- En funksjon som gir et klart og omfattende "Sikkerhetssenter" hvor alle til enhver tid alle personvernerkrenkende tillatelser avsløres og kan slås på eller av individuelt.
Selvfølgelig liker tredjepartsapper NoRoot -brannmur gjør noe slikt. Men disse kommer bare til å bli brukt av en ekstrem minoritet av brukerne.
Det er på tide at Google øker og beskytter brukerne med disse to funksjonene, som minimerer produktbrukere på operativnivå. Brukere trenger ikke å lete etter eksotiske telefoner eller uklare apper for å kunne gi eller nekte personverntillatelser på Android -telefonene sine.
(Bilde med tillatelse til SoftAndApps.info)