Tre nya säkerhetstelefoner har kommit i rampljuset nyligen: The Geeksphone Blackphone, Boeing Black, och FreedomPops sekretess -telefon.
Dessa telefoner tar liknande vägar till säkerhet, från vad vi vet hittills. De är laddade med kryptering, säkerhetsappar och andra funktioner.
Men det finns två funktioner på minst en av dessa telefoner som borde vara en standarddel av Android.
$ 629 Geeksphone Blackphone, gjord i samarbete med Silent Circle, använder en gaffelversion av Android som heter PrivatOS. Först konfronterar systemet dig med val när du installerar en app, så att du kan välja exakt vad personlig information är tillgänglig för varje app - individuella behörigheter för varje datakälla som varje app förfrågningar. Och för det andra, efter att appar har installerats, låter ett "Säkerhetscenter" användare aktivera eller inaktivera specifika behörigheter för varje app.
Varför är inte dessa två funktioner inbyggda i standard Android?
Antivirusprogrammet Avast avslöjade I fredags har en nattvision Android -app som heter Cámara Visión Nocturna registrerat användare för en betald meddelandetjänst utan deras vetskap eller tillstånd.
Appen har skördat telefonnummer från WhatsApp och andra meddelandeprogram och registrerat dem för en betald meddelandetjänst, som kostade dem 2,80 dollar per session. Vissa användare debiterades upp till $ 50 per månad. Det är inte klart för mig hur denna fakturering skedde, men skadan skedde redan när forskarna fick reda på det.
Användningen av skenbart legitima appar som innehåller hemliga funktioner som rånar eller kränker användare verkar vara en bransch som växer. Verktygssatser för fjärråtkomst, eller RAT, har varit ett problem i flera år, men har tenderat att rikta sig till användare i Kina och på andra ställen i Asien.
Denna vecka har forskare avslöjat en RAT som kallas Dendroid, som hjälper potentiella distributörer av skadlig kod att rikta sig till amerikanska och europeiska användare. Den är utformad för att dölja skadlig kod i annars legitim Android -programvara.
En intressant funktion är att kontrollpanelen för Dendroid finns på virtuella privata servrar. Det är "malware som en tjänst".
Dendroid kostar $ 300 och kommer med både 24-timmars tekniskt stöd och en garanti för att det inte kommer att upptäckas. Dess skapare, som går under namnet "Fotboll" på forumet, hävdar att programvaran kan spela in telefonsamtal och sms, ladda ner bilder från telefoner och spela in ljud och video, ta bilder via telefonens kameror, ring telefonnummer, radera samtalsloggar, öppna program och starta en denial-of-service ge sig på.
Dendroid är enligt uppgift utformat för att glida förbi Googles Play Store -kontroll (som kallas Bouncer).
Allt detta låter hemskt, men mobila säkerhetsspecialister förväntar sig inte att Dendroid är ett stort hot i verkligheten, främst eftersom det upptäcktes och att nu när säkerhetsbranschen och Google vet om det kan de göra något åt det den.
Det som oroar är att Dendroid representerar en ny trend med mycket professionella, mycket kapabla allt-i-ett-verktyg för verktyg för skadlig kod för Android.
Det finns också problemet med datainsamling som inte exakt är skadlig kod.
En rapport förra året av Data Center of China Internet (DCCI) visade att nästan 35 procent av de Android -appar som den undersökte tog tag i användardata som inte var relaterade till appens syfte.
Problemet finns också utanför Kina, även om det förmodligen i genomsnitt är betydligt bättre för appar i Play Store. Fallet med den högsta profilen var GoldenShores Technologies ljusaste ficklampa.
Det är klart att Android -användare löper stor risk för framtida integritet, säkerhet och ekonomi kränkning från till synes legitima appar som i hemlighet rymmer skadlig nyttolast som är utformade för att missbruka förtroendet av användare.
Det är därför Google behöver lägga till två funktioner från Geeksphone Blackphones PrivatOS:
- En funktion som konfronterar användaren med att bevilja eller neka tillåtelse för varje sekretessbrott som appen kan utföra. Om apputvecklare vill att användarna ska slutföra installationen i stället för att ge upp eftersom det är för mycket krångel att fortsätta måste de minimera eller eliminera integritetskränkande funktioner.
- En funktion som ger ett tydligt och omfattande "säkerhetscenter" där alla rättigheter som kränker sekretessen avslöjas och kan aktiveras eller inaktiveras individuellt.
Naturligtvis gillar tredjepartsappar NoRoot -brandvägg gör något liknande. Men dessa kommer endast att användas av en extrem minoritet av användare.
Det är dags för Google att stärka och skydda användare med dessa två funktioner, som minimerar produktanvändare på operativsystemnivå. Användare ska inte behöva leta efter exotiska telefoner eller dunkla appar för att kunna bevilja eller neka integritetstillstånd på sina Android -telefoner.
(Bild med tillstånd av SoftAndApps.info)