האם אנדרואידים חולמים על אפליקציות בטוחות?

משתמשי אנדרואיד נהנים מאפליקציות בחינם הודות למודל הקוד הפתוח. אבל לפעמים אין יקר יותר מהחינם. ממה משתמשי אנדרואיד צריכים להיזהר?מאת רנדי אברמס, דירקטור לחינוך טכנולוגי ESET.

התקנת אפליקציה ב- i phone היא קצת שונה מהתקנת אפליקציה באנדרואיד. למשל, אם יש לך – i phone אתה גולש לחנות האפליקציות של Apple, בוחר את האפליקציה הרצויה (ומשלם אם נדרש) ואז מוריד ומתקין אותה על המכשיר. משתמש אנדרואיד גולש לאתר Android Market, בוחר את האפליקציה הרצויה, מוריד אותה, ואז חייב לאשר אילו הרשאות גישה יהיו לאפליקציה שהוא הוריד. למשתמש הממוצע הנוהל הטכני של אישור ההרשאות נראה כבזבוז זמן, אבל האמת היא שיש פה מידע מעניין. בואו ניקח לדוגמא את האפליקציה MotoSpeak. MotoSpeak היא אפליקציה (של מוטורולה) שעובדת עם אוזניית הבלוטות' של מוטורולה. בין היתר האפליקציה הזו משמיעה לך הודעות שהתקבלו כטקסט ושולחת אוטומטית הודעת SMS בתגובה אשר מבטיחה שאתה תענה מאוחר יותר (אפילו אם אתה לא…).
כשאתה מאשר את ההתקנה של MotoSpeak מופיע מסך שממליץ שלאפליקציה יהיו הרשאות גישה לאנשי הקשר שלך, היא תוכל לקרוא תכנים ולשלוח תכנים אוטומטית, תהיה לה גישה לשירותים שניתנים בתשלום כמו ביצוע שיחות ושליחת הודעות טקסט וכמו כן, תהיה לה גישה לכל הודעות ה- SMS וה- MMS, היא גם תוכל ליצור חיבור אינטרנט ובלוטות' והרשימה ממשיכה.
ההרשאות הנ"ל הן הגיוניות בהתחשב במה שהאפליקציה צריכה לעשות. אך עם זאת, אם מוטורולה רצתה היא הייתה יכולה לנצל לרעה את ההרשאות האלו. איך? שימו לב לשילוב ההרשאות. (למרות שאני די בטוח שמוטורולה לא תכננו את MotoSpeak כדי לעשות את זה). על ידי כך שהתקנתי את האפליקציה אפשרתי מספיק גישה למוטורולה על מנת להעתיק את כל אנשי הקשר שלי ולשלוח להם SMS עם כל העולה על רוחם. מוטורולה גם הייתה יכולה לשלוח לעצמה את כל רשימת אנשי הקשר שלי עם כתובות האימייל שלהם, מספרי הטלפון שלהם וכו'.
אבל, גם אם אתה יודע למה האפליקציה צריכה את ההרשאות האלו, זה לא אומר שמי שכתב אותה לא מתכוון לנצל (לרעה) את ההרשאות. זוהי אחת הסיבות לכך שאתה צריך שתהיה לך סיבה מאוד טובה לסמוך על מפתח האפליקציה לפני שאתה מתקין אותה. הסיכון הוא נמוך כאשר מדובר בחברה גדולה ומכובדת.
בואו נסתכל על אפליקציה נוספת. לא תמצאו יותר את האפליקציה Tapsnake ב Android Market בגלל שבעצם מדובר בתוכנת ריגול. אם לפני שהתקנת את האפליקציה היית מסתכל בהרשאות שאותה אפליקציה מבקשת, היית רואה שבין היתר לאפליקציה הזו יש גישה ל GPS ולגלישה באינטרנט. אין שום סיבה שלאפליקציה הזו (שאגב, מדובר במשחק סנייק הנוסטלגי) יהיו כאלו הרשאות והסיבה שהאפליקציה רצתה אותם כי היא בעצם שדרה בחשאי את המיקום של המשתמש לשרת של מפתח האפליקציה (ואני מאמין שאין צורך לפרט מה הבעיה עם זה). כמובן, תיאור האפליקציה לא כלל מילה על עניין מעקב החשאי שהיא ניהלה, אבל המשמעות של זה היא שההבנה שאין שום סיבה שבעולם שמשחק כזה יבקש כזו גישה תאפשר לך המשתמש לעשות החלטה מושכלת לגבי האפליקציה ולא להתקין אותה.
עשיתי חיפוש אקראי ב anrolib.com ובחרתי במשחק שנקרא Pacific Wings. לא הורדתי או התקנתי אותו אבל הסתכלתי אילו הרשאות הוא מבקש. המשחק למעשה מבקש רק הרשאה אחת – יכולת להשתמש באינטרנט. שלחתי אי מייל למפתח האפליקציה ושאלתי אותו למה משחק כזה זקוק לגישה לאינטרנט? תשובת אותו מפתח הייתה: "הגישה לאינטרנט דרושה לפרסומות שמופיעות במהלך המשחק (כדי שהוא יהיה חינמי)". למרות ששיטת ההפצה הזו היא לגיטימית, אל תתפלאו אם חלק מהפרסומות שיופיעו בעקבות התקנת האפליקציה יפנו אתכם לאתרים המכילים קוד זדוני.
 
האמת היא שמודל האבטחה של האנדרואיד הוא דיי טוב, עם זאת רוב האנשים לא מבינים או לא מקדישים תשומת לב להרשאות שהם מעניקים לאחרים כשהם מורידים אפליקציות. אם אנשים יעשו זאת האנדרואיד יוכל להתקרב או אפילו להשוות לרמת האבטחה של ה- i phone, אבל כנראה שהם לא יעשו זאת, ולא צריך הרבה כדי להכניס אפליקציה ל Android Market. כתוצאה מכך אנחנו עוד נראה הרבה בעיות אבטחה בטלפונים מבוססי אנדרואיד.

דילוג לתוכן