Oprez sa dozvolama za mobilne aplikacije

Izvor: Politika, 15.Okt.2015, 22:03   (ažurirano 02.Apr.2020.)

Oprez sa dozvolama za mobilne aplikacije

Prilikom instaliranja treba biti sumnjičav prema aplikacijama koje traže više od onoga što je neophodno za njihovo funkcionisanje

Kada iz prodavnice aplikacija skidaju novu igru ili program za četovanje, korisnici smartfona uglavnom bez mnogo razmišljanja pritisnu pločicu „prihvatam”. Na taj način daju niz ovlašćenja vlasnicima aplikacije, i uprkos tome što sve lepo piše na srpskom, retko ko se udubljuje u sadržaj ovog dokumenta.

Istraživački tim Fondacije >> Pročitaj celu vest na sajtu Politika << „Šer” bavio se analizom dozvola koje dajemo vlasnicima aplikacija, a deo rezultata izveštaja „Nevidljive infrastrukture: dozvole na mobilnim uređajima” predstavljen je juče na diskusiji „Mobilno, a bezbedno u Srbiji”. Skup je organizovala fondacija „Registar nacionalnog internet domena Srbije” (RNIDS), u okviru „Evropskog meseca sajber-bezbednosti” koji u oktobru sprovodi agencija EU za bezbednost mreža i podataka.

Prosečan broj instaliranih aplikacija po android telefonu je 95, a tekst jedne politike privatnosti u proseku ima 2.518 reči. Iza komplikovanih pravila stoji zapravo priča o ličnim podacima koji su postali nova monetarna jedinica, navodi se u izveštaju. „Gugl” pretraga, na primer, zahteva dozvolu da samostalno izvršava više od 40 operacija na uređaju.

– Pre nego što instalirate neku aplikaciju, pogledajte koja se ovlašćenja traže i razmislite o poslovnom modelu kompanije koja vredi milijarde dolara. Zaključićete da tu postoji analiza ponašanja i podataka na osnovu kojih se prave profili korisnika i prodaju u marketinške svrhe – rekao je Vladan Joler, direktor fondacije „Šer”.

Problem je i to što kada kupujemo telefon kod operatera u njemu su preinstalirane aplikacije za koje korisnik nije prethodno dao odobrenje o prikupljanju podataka. Pomenuto je da su neki telefoni sadržali aplikaciju lista „Kurir” koja je imala ovlašćenja da čita osetljive podatke o pozivima i drugim aktivnostima korisnika.

Ako žele da vide koja su ovlašćenja već dali, korisnici mogu da instaliraju aplikaciju „OWASP Seraphimdroid”, ali da se spreme na neprijatna iznenađenja, rekao je Dragan Pleskonjić, stručnjak za bezbednost informacija kompanije IGT.

Kao poseban problem je pomenuto čuvanje metapodataka kod operatera mobilne telefonije (pozivi, trajanje razgovora, lokacija) kojima državni organi mogu da pristupe uz sudski nalog, ali i preko posebnih softvera kojima su neki operateri olakšali pristup službama. Na to je u svom izveštaju ukazao i poverenik za zaštitu podataka, navodeći primer jednog operatera čijim su bazama službe pristupale više od 200.000 puta iako je postojalo samo 6.000 naloga suda. Ovo nije problem samo za korisnike smartfona, jer metapodatke generišu i uređaji starije generacije.

Janez Križan, stručnjak za bezbednost slovenačkog „Si mobila”, koji pripada istoj grupaciji kao „Vip”, posvedočio je da su propisi u Sloveniji mnogo stroži za legalno presretanje.

Od mera koje sami korisnici mogu da preduzmu radi bezbednosti podataka, Križan je preporučio da se ne isključuje PIN kod za otključavanje SIM kartice i da se koristi bar neki oblik zaključavanja uređaja, a da to ne bude 1111. Prilikom instaliranja aplikacija treba se rukovoditi zdravim razumom, a to znači da treba biti sumnjičav prema aplikacijama koje traže šire dozvole od onoga što je neophodno za njihovo funkcionisanje. Nema logike da običan snimač zvuka traži pristup lokaciji i sadržini snimaka, kaže Križan, mada priznaje da nisu svi korisnici dovoljno obrazovani i voljni da se upuste u ovakvu analitiku. Rešenje vidi u obuci korisnika sa više strana.

– Oni koji prodaju mobilne telefone trebalo bi da obezbede minimalnu literaturu kako da se bezbedno koriste mobilni uređaji, što mi već radimo. Imamo i časove za starije, gde ih učimo i kako da koriste aplikacije. Drugi deo priče je da država treba da ima program obuke – zaključuje predstavnik slovenačkog mobilnog operatera.

Šta traže aplikacije

Čitaj es-em-es: Ovo odobrenje omogućava aplikacijama pristup porukama i kao takvo predstavlja ozbiljno ugrožavanje privatnosti.

Isključi pozadinske procese: Prilično riskantno ovlašćenje ako se koristi za onesposobljavanje antivirusa ili sličnih aplikacija.

Pravi telefonske pozive: Ovo dozvoljava aplikaciji da poziva telefonske brojeve o trošku korisnika, iako se najčešće ne koristi na taj način. Aplikacija može da aktivira pozivni ekran i da upiše broj, ali je potrebno da korisnik pritisne dugme za poziv

Šalji es-em-es ili em-em-es: Ovo omogućava aplikaciji da šalje es-em-es ili em-em-es poruke u ime korisnika, takođe o njegovom trošku.

Nastavak na Politika...



Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta Politika. Nije preneta ručno, niti proverena od strane uredništva portala "Vesti.rs", već je preneta automatski, računajući na savesnost i dobru nameru sajta Politika. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava - molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.