Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Normalne podejście do świata Google →

· Wojtek Pietrusiewicz · 15 komentarzy

Michał Zieliński:

Za co lubię Google? Za ich normalne podejście do świata. Android nie jest bezpieczny – powiedzieli o tym wprost. Mało kogo na to stać.

Nie sądzę, aby to było coś co należy chwalić ani coś za co należy kogoś lubić. To mniej więcej tak jakby producent samochodów przyznał, że ich samochód wcale nie jest bezpieczny i że możecie w nim zginąć przy 30 km/h, bo składa się jak harmonijka przy zderzeniu. Albo wypada mu silnik powyżej 100 km/h. Fajnie jest to wiedzieć, owszem, ale nie zwiększa to mojej sympatii do firmy w żadnym wypadku.

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • dusjakub

    Zwróciłem Michałowi uwagę na to samo, ale niestety nie dostałem odpowiedzi. Cóż, młody jest, ma prawo błądzić ;)

  • Przyznanie się do błędu i/lub mówienie otwarcie prawdy to na 100% coś, za co warto lubić czy to firmę, czy innego człowieka. Oczywiście, fajnie jakby Android był super bezpieczny, ale taki nie jest, bo inaczej przestałby być tak otwarty, jaki jest teraz. iOS też nie jest super bezpieczny (w ciągu ostatnich dwóch tygodni odkryto dwie poważne luki, z czego jedna ma ponad półtora roku, zaś druga pozwala zdalnie monitorować co się dzieje na telefonie), ale Apple dalej nam wmawia, że ten system powstał w oparciu o bezpieczeństwo.

  • Ta jedna do tej pory jest obecna dla becie iOS 7.1 (powrót do 7.0 jest tutaj średnio wygodnym rozwiązaniem). Poza tym powinni byli zgrać w czasie łatkę dla iOS i OS X, bo przez udostępnienie dla drugiego później narazili sporo użytkowników – po łatce dla iOS zrobiło się głośno o tej dziurze i kilka dni userzy tak naprawdę nie powinni korzystać z publicznego Wi-Fi, bo każdy dzieciak mający trochę pojęcia o SSL i sieciach mógł podsłuchiwać ich ruch w centrum handlowym, McDonaldzie czy Starbucksie.

    Moim zdaniem było to skrajnie nieodpowiedzialne. Tym bardziej, że kierują swoje produkty do osób, które raczej nie mają rozbudowanej wiedzy technicznej (po prostu działa!) i większość pewnie nawet nie wiedziała, że nie powinna korzystać z publicznych sieci ze względu na wspomnianą dziurę. Te osoby nie zdają sobie też pewnie sprawy, że generalnie nie powinno się odwiedzać banku i innych ważnych stron. przez publiczne hotspoty.

    Oczywiście Google też nie jest ideałem i miało w Andku kilka dziur obecnych ponad kilka miesięcy przez załataniem ich (w najnowszej wersji systemu, o tym ile userów ją potem dostało lepiej nie wspominać). Za to ich polityka informacyjna w tym zakresie jest moim zdaniem 100x lepsza od Apple (nie zawsze sami piszą, ale w źródłach widać wszystkie zmiany, Apple często prawie nic nie mówi i nie udostępnia zbyt wiele kodu, więc samemu trudno się czegokolwiek dowiedzieć).

  • „Składa się jak harmonijka”?:p Ok, trzymając się alegorii motoryzacyjnych (tak popularnych, których osobiście nie lubię, bo najczęściej, jak powyżej, bywają nietrafione) – załóżmy, że świat dotarł do takiego momentu rozwoju motoryzacji, że pasażerowie pojazdów przy zderzeniu z czymkolwiek przy prędkości 80 km/h nie odnoszą żadnych obrażeń, praktycznie nigdy. Ja widzę to tak:

    Google: Nasza fura ma kurtyny, poduszki, pasy, klatkę i inne systemy zwiększające bezpieczeństwo pasażerów. „Nasz samochód stawia na wolność, takie było założenie”~Sundar Pichai”.

    Apple: Nasza fura ma kurtyny, poduszki, pasy, klatkę, inne systemy wpływające na bezpieczeństwo i prędkościomierz ograniczony do 80 km/h.

    Wczoraj, w radosnym „rage’u” zacząłeś wrzucać na Twittera linki z informacjami o „wirusach, maleware’ach i trojanach” na Androida. Chyba losowe, bo można z nich było nabyć bardzo śmiechową wiedzę.

    Przede wszystkim – z tych wpisów rzadko cokolwiek wynika. W żadnym nie było informacji o jakiejkolwiek metodyce badań, poza wpisem z bloga Pandy. Poza nim: „Nokia przebadała X tysięcy aplikacji na Androida >z różnych sklepów< (to cytat!) i okazało się, że aż X% z nich było niebezpieczne!" "Wirusy mogą przejąć kontrolę nad twoim smartfonem, nagrywać rozmowy (lol:p)". To jest tak śliska materia, że bez informacji, skąd pochodzą badane aplikacje, jakiego poziomu dostępu do smartfona wymagają (kilka opisywanych programów… wymagało roota) i co dany raport rozumie przez "maleware, trojany, wirusy" – dalsze czytanie pozbawione jest sensu.

    Najniebezpieczniejsza w przypadku Androida jest możliwość wydobycia z urządzenia danych naszych kontaktów, czy naszych i nieszczęsne SMSy premium (sytuacja opisana przez Pandę). W takim przypadku jedyną obroną użytkownika jest jego zdrowy rozsądek, bo fakt – Google nie wie, jak sobie poradzić z takimi programami, jak je odfiltrować. Więc jeśli aplikacja do zmiany tapety podczas instalacji wymaga prawa do wysyłania SMSów (co dodatkowo Google opatrzyło komentarzem "może generować koszty!"), należy poszukać innej.

    Ale w innych przypadkach (nagrywanie rozmów) opisywane wirusy to zwykle programy, które wymagają praw roota, a więc common user ich nawet nie zainstaluje. A i takiej aplikacji, na zrootowanym urządzeniu musimy nadać dodatkowe prawa z imienia i nazwiska. A sytuacja, którą przytoczyłeś w innym wpisie we własnym komentarzu ("numer karty w notatkach") leży totalnie w sferze sci-fi, bo apki w Andku nie mają wolnego dostępu do pamięci innych aplikacji.

  • Piotr Zaborowski

    Wystarczy do aplikacji, w której logujesz się emailem i hasłem. Dodać kod, który zapisuje je jako… plaintext. Następnie ten plaintext, wysyłać na serwer, przez inny port niż 8080. Udało mi się wkleić taki kod do aplikacji mojego kolegi. Aplikacja dostała się do Google Play bez problemów.

  • Nie trafiłeś jeszcze bardziej:

    Google: Nasza fura ma kurtyny, poduszki, pasy, klatkę i inne systemy zwiększające bezpieczeństwo pasażerów. „Nasz samochód stawia na wolność, takie było założenie”~Sundar Pichai”.

    Apple: Nasza fura ma kurtyny, poduszki, pasy, klatkę, inne systemy wpływające na bezpieczeństwo i prędkościomierz ograniczony do 80 km/h.

    Google: nasza fura nie ma kurtyn, poduszek i pasy przeważnie działają. Możecie je sobie kupić we własnym zakresie od różnych dostawców z całego świata. Nie oceniamy jakości tych podzespołów.

    Apple: Apple: Nasza fura ma kurtyny, poduszki, pasy, klatkę, inne systemy wpływające na bezpieczeństwo. Części zamienne do niego musicie kupować w naszej sieci sklepów.

    Wczoraj, w radosnym „rage’u” zacząłeś wrzucać na Twittera linki z informacjami o „wirusach, maleware’ach i trojanach” na Androida.

    O malware i trojanach. O wirusach nie.

    Przede wszystkim – z tych wpisów rzadko cokolwiek wynika. W żadnym nie było informacji o jakiejkolwiek metodyce badań, poza wpisem z bloga Pandy.

    Jesteś zapisany zapewne do tych samych PRów co ja. Na temat bezpieczeństwa i Androida dostaję tygodniowo przynajmniej jedno podsumowanie.

    Prawda jest taka, że Google nie dba o interesy swoich userów pod tym względem. Nie jest aktywny. To nie jest dobre. Kiedyś tak postępował Microsoft dopóki backlash userów nie był na tyle duży, że nagle zmienili front. Mówię oczywiście o apps w Google Play. Sideload tutaj jest oczywiście na odpowiedzialność usera.

    Co do nagrywania rozmów – z tego co wiem to nie jest do tego potrzebny root. Popraw mnie linkiem jeśli się mylę.

  • koglow

    A Apple mówiło, że iOS jest bezpieczne po czym okazało się że przez ponad 2 lata szyfrowanie SSL nie działało tak jak należy…

  • koglow

    A Apple dba publikując łatkę do SSLi po ponad dwóch latach?

  • Pisałem już że to fuckup. Nieświadomy ale fuckup.

  • Mnie chodziło o wykradanie informacji z innej aplikacji, nie o „korumpowanie” właśnej

  • Właśnie dlatego nie lubię porównania ze światem motoryzacji – bo nie jest w stanie oddać całości sprawy. Przywiązanie do ASO nie jest jedynym ograniczeniem w przypadku fury od Apple, tak samo, jak i uważam, że bezpieczeństwo fury od Google nie ogranicza się tylko do „pasów, które czasem działają. A antywirusy na Androidzie nie działają tak, jak te na komputerze i lepiej zadać sobie trochę trudu i pomyśleć, niż ufać takim apkom;)

    „Jesteś zapisany zapewne do tych samych PRów” – jestem i czytam dokładnie takie same wpisy jak Ty. Z których niczego konkretnego nie mogę się dowiedzieć poza tezą i kilkoma liczbami. Oczywiście, posiadając moją szczątkową wiedzę o obu systemach, jestem w stanie uwierzyć wpisom „98% malware celuje w Androida”, to innych często nie rozumiem, z braku danych.

    Co do nagrywania rozmów – masz rację, po części. Niewymagające roota apki… nagrywają korzystając z zewnętrznego mikrofonu. Czyli rozmówcę albo będzie słychać, albo nie. Ale fakt, jest to możliwe. Taka apka żąda dostępu do uprawnień mikrofonu, nagrywania dźwięku i danych połączeń telefonicznych. Jeśli o coś takiego poprosi Cię apka do zmiany tapet – nie ryzykuj;)

    Z naszej dyskusji wychodzi to, co chciałem przekazać. Po pierwsze – iOS jest bezpieczniejszy ze względu na swoją budowę i podejście sklepu. Nanosi to na niego też dodatkowe ograniczenia – coś kosztem czegoś. Ta sama zasada: jeśli w portfelu masz tylko gotówkę, ktoś może ukraść Ci tylko daną kwotę. Ale w sklepie możesz zapłacić tylko tą przygotowaną kasą. Jeśli masz kartę, płacisz gdzie chcesz, za co chcesz, ale tracąc portfel możesz stracić całą kasę z konta.

    Bronię Google nie dlatego, że Android jest w pełni bezpieczny, bo nie jest. Ale dlatego, że w cukierniczym przypadku dużo zależy od samego użytkownika, bo ze względu na otwartość (chociaż podobno Android nie jest otwarty:/ ) Google jest ciężko bronić tych nieświadomych userów. Aplikacje po prostu mogą tu więcej i dlatego tak trudno je filtrować. Ideałem byłby system sztucznej inteligencji, który potrafiłby w jakiś sposób porównywać deklarowane „intencje” aplikacji z jej możliwościami… ale coś takiego próbuje robić YouTube wykrywając pirackie treści i obecnie działa to tragicznie. Gdyby Google opracowało coś takiego i wilk, i ow(o)ce byłyby najedzone. Obecnie fura od Google zakłada, że nie patrząc na prędkościomierz, robisz to na własne życzenie.

  • Ale otwartość Androida tak po prawdzie nie ma nic wspólnego z tym co Google dopuszcza do swojego sklepu! Niech Android będzie jaki będzie, ale niech zabezpieczą sam sklep…

    Nie rozumiem ich polityki dopuszczania do sklepu każdego gówna które ktoś wrzuci… Połowa aplikacji nie działa reszta się wywala lub jest niedostosowana ,nie wiem dla mnie to jakaś porażka…
     
    O bezpieczeństwie już nie wspomnę…

  • Ale otwartość Androida tak po prawdzie nie ma nic wspólnego z tym co Google dopuszcza do swojego sklepu! Niech Android będzie jaki będzie, ale niech zabezpieczą sam sklep…

  • Piotr Zaborowski

    Dodaj do tego logowanie się kontem Google i masz całość na wyciągnięcie ręki :P Ale to już ekstrawagancki przypadek.

  • Nie rozumiem ich polityki dopuszczania do sklepu każdego gówna które ktoś wrzuci… Połowa aplikacji nie działa reszta się wywala lub jest niedostosowana ,nie wiem dla mnie to jakaś porażka…
     
    O bezpieczeństwie już nie wspomnę…

    Ta polityka pewnie wynika z pierdyliardów urządzeń, które działaja z Androidem kazdy z innym procesorem/chipsetem/rozdzielczoscia ekranu i wszystkim co mozliwe. Apple ma w tym zakresie mniejszy ogrodek do obrobienia.