Android sikkerhed - who cares?

Skal jeg være ærlig, så er mit liv for kort til at gå og være bekymret. Nogle apps er mere luskede end andre, men jeg installerer de færreste ting alligevel. Jeg installere f.eks. ikke en et spil, der synes at den skal vide hvor i verden jeg befinder mig.

Jeg bruger ikke telefonen til at opbevare kodeord, eller til at gå på netbank - så hvad er worst case egentlig? At de sender reklamer min retning - eller at de sender min placering til en central server? Sålænge de ikke nakker min identitet eller mine kreditkortoplysninger, så er jeg mere eller mindre ligeglad.

Hvis man kun bruger den til at telefonere og sende nogle uskyldige sms'er, er skaden nok begrænset, men mange bruger tilsyneladende deres smartphone til alt muligt, også til ting, der efter min mening kræver, at man i det mindste overvejer sikkerhedsaspektet.
Mit andet link har en henvisning til en artikel om 'Massive Security Vulnerability In HTC Android Devices' http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-…
Den beskriver, hvordan en app blot med internetadgang faktisk har adgang til alt på telefonen. ALT. Som den med internetadgang kan sende hvorhen det skal være.

Jeg bruger den også til dropbox og ubuntu one. Det er nok den største sikkerhedsrisiko jeg løber, selvom jeg ikke bruger dropbox/ubuntu one til noget personfølsomt.

Men jeg synes debatten er god, for smartphones og især android lukker op for pandoras æske af alverdens sikkerhedsproblemer. Det er et meget stort problem.

Skal jeg være ærlig, så er mit liv for kort til at gå og være bekymret. Nogle apps er mere luskede end andre, men jeg installerer de færreste ting alligevel. Jeg installere f.eks. ikke en et spil, der synes at den skal vide hvor i verden jeg befinder mig.
Jeg bruger ikke telefonen til at opbevare kodeord, eller til at gå på netbank - så hvad er worst case egentlig? At de sender reklamer min retning - eller at de sender min placering til en central server? Sålænge de ikke nakker min identitet eller mine kreditkortoplysninger, så er jeg mere eller mindre ligeglad.


Kunne ikke være mere enig :-)

Jeg er også i den lejr der ikke tager det så tungt. Prøv at forestille jeg som tankeeksperiment at alle androidtelefoner blev logget og informationerne sendt et sted hen. Hvilke helvede det så må være for gerningsmændene at udvælge hvilke informationer de kan bruge til noget. Jeg føler med dem!

Jeg ser sådan på det at hvis nogen vil spionere specifikt på dig skal de nok finde ud af det på en eller anden måde. Så hvis man fx hænger ud med rockere på cafeer i Køge, ville jeg nok være bekymret for hvad der lå på min telefon.

Men selvfølgelig tjekker jeg tilladelser inden jeg installerer noget. Vil program der finder nærmeste pizzarier have fat i mine kontakter virker det ret suspekt. Men er det et SMS program, må den nødvendigvis kunne bruge min kontaktliste osv.

Når jeg får lidt tid vil jeg gerne roote min telefon. Dels for at kunne afinstallere stads jeg aldrig bruger, og dels for at kunne bruge iptables til at begrænse dataadgangen.

#5: Når jeg får lidt tid vil jeg gerne roote min telefon. Dels for at kunne afinstallere stads jeg aldrig bruger, og dels for at kunne bruge iptables til at begrænse dataadgangen.
Der var nogle interessante forslag til alternative android installationer i en debat på version2, hvis ikke du selv har set den. Det var i Poul Hennings blog indlæg omkring Android rooting: Android rooting, hvem stoler du på?

#6:

Jo tak, jeg så det godt. Men min telefon er en Desire Z med hardwaretastatur og her er der ikke så mange muligheder da den ikke er ret udbredt.

Jeg er opmærksom på, hvilke rettigheder applikationer vil have og prøver at undgå at installere apps, der vil have flere rettigheder end de rimeligt har brug for.

Det ærgre mig lidt at jeg ikke kan få WhisperCore (http://whispersys.com/whispercore.html) til min Samsung Galaxy SII, mere præcist "Selective permissions" så jeg kunne nedgradere applikationers rettigheder.

Jeg har applikationsspecifikke koder på min google apps, så jeg kun hurtigt trække adgangen fra min mobil til min gmail, kontakter mv. tilbage.

Men ud over det gør jeg ikke ret meget for det. Det kan være at jeg på et eller andet tidspunkt rooter den, men indtil videre er jeg rimelig tilfreds med den som den er.

#8: Det ærgre mig lidt at jeg ikke kan få WhisperCore
Det havde været fancy, så kan man installere apps og begrænse dem bagefter. :P

#5: Det lyder umiddelbart vidtløftigt, at nogen skulle logge alt om alle og få noget ud af det, men det er jo trods alt det Google og Facebook lever af. De har også tilstrækkeligt med computerkraft til datamining i stor stil.

Profilering kan være mange ting. Det kan være indsamling af data om dig med henblik på at servere dig de annoncer, der mest sandsynligt får dig til at købe en vare, eller i den værre ende for at kunne købe ind med dit Visakort eller sælge dine personlige hemmeligheder til sladderpressen.

Det sidste er måske ikke det mest sandsynlige, hvis du passer en smule på, men mange data om mange mennesker er også interessante, som da Google kunne følge eller forudsige udbredelsen af svineinfluenza ved at sammenholde hvor folk var på et givet tidspunkt med, at de søgte efter oplysninger om eller medicin mod sygdommen.
Det viser, at der indsamles og sammenholdes data om mange mennesker, den gang med et nobelt formål, men der kan uden tvivl tænkes samkøring af andre data, der mere ligner overvågning eller udnyttelse.

#6:
Det var netop Poul-Hennings blogindlæg og tråden om Android apps, der inspirerede mig til denne tråd.

Rooting, WhisperCore, fjernelse af unødvendige apps, installation af IPtables kunne altsammen medvirke til en mere sikker mobil.

Når man snakker sikkerhed, så er det laveste fællesnævner. Det er nok mere eller mindre samme diskussion uanset hvilket apparat det handler om.

For ikke så længe siden, blev det demonstreret hvorledes engelske journalister hackede en afdød piges telefon, for bare at tage et eksempel der kostede dyrt.

I et andet eksempel, bare med IPhone, og en smule "dårlig" vilje, blev det fornyligt demonstreret at folketingsmedlemmernes telefoner kunne aflyttes, ved at lokke dem til at installere et program.

Klogt ikke at installere alt muligt på sådan en tingest, men skal den have respekt, så kommer man ikke uden om sikkerhed, fordi rigtig mange ikke aner hvad de laver, og hvor skulle de vide det fra?

Jeg ser dagligt på Windows maskiner, at hvis de ikke er beskyttet i begge ender (for de mest udsattes vedkommende med Deepfreeze), kan det koste firmaet dyrt går det rigtigt galt, for nogle gange forsøger folk at installere de underligste ting.

#12: for de mest udsattes vedkommende med Deepfreeze

Et lille sidespring, men hvordan skelner Deepfreeze mellem ønskede og uønskede konfigurationsændringer? Hvis jeg nu laver en indstilling vil jeg jo ikke have den er forsvundet ved næste boot.

#13: Et lille sidespring, men hvordan skelner Deepfreeze mellem ønskede og uønskede konfigurationsændringer?

Det er en længere historie, som det nok er nemme at læse på deres hjemmeside, men ved at indtaste DeepFreeze's password og derefter genstarte, kan man konfigurere maskinen som man ønsker, aktivere DeepFreeze igen, og endnu engang genstarte.

Lidt besværligt, men ikke noget til sammenligning med den ballade det giver, hvis en eller anden rod sletter noget, eller forsøger at installere noget uønsket.

Jeg har da grinet over en sådan rods overraskelse, at hans (det er altid hankøn) forsøg på sabotage er sporløst forsvundet efter en genstart.

Ukendt malware, uautoriserede installeringer, sletninger osv - It all don't stand at chance ;-)

DeepFreeze har dog et par svagheder, som jeg nødigt vil sige højt ;-)