Prima Pagina aplicatii Aplicatiile din iOS pot face poze/filme si pot inregistra singure conversatii pe...

Aplicatiile din iOS pot face poze/filme si pot inregistra singure conversatii pe care le pot transmite in secreat catre dezvoltatori

  V-am spus ieri ca Apple va introduce noi masuri de securitate in iOS dupa ce Congresul american a cerut explicatii cu privire la modul in care aplicatiile acceseaza datele agendei de contacte din iPhone-urile noastre. Ei bine problema agendei de contacte este una mica deoarece dezvoltatorii de aplicatii pot accesa aproape orice din terminalele noastre fara ca noi sa stim. Practic aplicatiile pot inregistra conversatii, face poze/filme si pot accesa aproape orice fel de date din iDevice-ul nostru fara ca noi sa stim decat daca avem terminalul in mana si detectam inregistrarea unei poze cu flash, de exemplu. Problema este ca Apple le da dezvoltatorilor acces la aceste functii prin SDK-ul sau si aplicatiile pot transmite datele inregistrate catre serverele dezvoltatorilor fara ca altcineva sa stie..

  1. Apps can only spy and slurp down your information when they are open. Just installing an app does not let this happen.
  2. Obviously, most developers would never consider doing something like this, and most companies would never try to do this either, because word getting out would destroy them immediately. However, there are many developers out there, and it is trivial to get on Apple’s development platform.
  3. Apps like Path were busted because it was transmitting data via SSL, but granting it a fake SSL certificate (Ed. Thanks commenter) actually let the developer watch the data as it is transmits. However, if data is encrypted without SSL, security experts and Apple cannot really see what is transferring securely, so it is harder to ferret out nasty applications
  4. This is not specifically an iOS problem. Any desktop application can suck up data and send it to a server somewhere far away (including email). Android handles this a little differently: If an app wants access contacts, it asks permission upon installation. Most people do not look at this, but the onus is on the user to approve access. So, that is protection in name only.

  Desi in iOS exista mari gauri de securitate, sunt totusi si anumite aspecte bune deoarece aplicatiile nu pot face absolut nimic decat daca sunt deschise, nu doar in background si nu doar lasate in Springboard. Nu se stie cate aplicatii din App Store inregistreaza si trimit date catre serverele dezvoltatorilor fara ca noi sa stim insa este nevoie de scandaluri mari pentru ca Apple sa mai restrictioneze accesul. Din punctul meu de vedere ar trebui sa ni se dea oportunitatea de a decide daca dorim sa oferim unei aplicatii posibilitatea de a accesa anumite date din terminalele noastre si sa ni se ceara permisiunea ca orice fel de date din terminale sa fie trimise catre serverele dezvoltatorilor aplicatiei.

  Majoritatea dezvoltatorilor folosesc metode necriptate de trimitere a datelor catre propriile servere si in acest mod aplicatiile “pirat” pot fi descoperite foarte usor. Cei care isi cripteaza datele inainte de a fi trimise catre servere protejeaza informatiile si nici noi nici Apple nu putem afla ce se transmite decat daca dezvoltatorii ofera informatii suplimentare. Practic acestea sunt aplicatiile cu adevarat periculoase deoarece informatiile trimise de ele nu pot fi monitorizate si verificate.

  • Claudiu daniel

    Eso es una mierda !! Asta e culmea !!! Dar de ce ma mira totul e posibil !!! Vedeti de ce nu mi place ca la iphone nu ii poti scoate bateria !!!???? Si asta e doar un motiv !! Vom ajunge sa aflam cine stie ce peste un an doi !! Timpul le ca dovedi pe toate !!!

  • Mihai_rt

    Rusine pt apple care ne prezenta ios ul ca cel mai sigur os pt telefoane
    Sa vedem ce mai zic acum aparatorii apple W

  • Ionel

    Frate inapoi pe nokia 3310 🙂

  • crocodilu

    Captain Obvious strikes again….

    Apoi de cand s-a inventat programarea, e posibil sa faci cam orice vrei…. Daca Apple permite accesul la agenda, cineva o sa comenteze ca o aplicatie poate sa copieze datele de acolo si sa le trimita nu stiu unde… Daca NU permite accesul la agenda, o sa sara altii in sus ca ce nasol e sistemul ca nici macar asta nu poti face…

    Asta nu e o problema a iOS-ului ci a oricarui sistem de operare din lumea asta…de PC, telefon, tableta sau orice. Iar probabil la iOS e probabil cea mai putin grava, dat fiind ca nu e chiar totul expus oricui.

    So, pe orice SO, pe orice device, daca eu ca programator pot accesa ceva stocat acolo, orice ar fi el si am access la retea, voi putea sa trimit acele date unde vreau eu si in ce forma vreau eu.

    Auzi, rusine pt Apple, sa vedem ce zic aparatorii Apple, inapoi la Nokia, voi ati incercat sa va folositi capul putin inainte sa postati ?!

  • crocodilu

    iar de cel cu scosul bateriei nu mai zicem nimic, e cireasa de pe tort… Poti sa-l inchizi daca vrei de tot, fara sa-i scoti bateria, you know ?! Pentru ca nu se blocheaza iremediabil ca alte telefoane….

  • Captain Obvious, ia intrebaa-ti tu prietenii cati stiau ca dezvoltatorii pot lua orice din telefonul lor. Daca tu ai lucrat cu asemenea lucruri in trecut sau te-ai documentat asta nu inseamna ca omul de rand stie tot ce se intampla in iOS. Gandirea ta limitata doar la tine este irelevanta in discutia asta, cand o sa gandesti global o sa intelegi pe cine ajuta informatiile astea.
    Eu nu le scriu numai pentru tine si inainte sa vii cu ironii de genul asta gandete-te la ce am scris mai sus.

  • Gabi

    As vrea ca si in appstore sa apara (cum este in android market) la descrierea programelor ce servicii utilizeaza in background aplicatia pe care o descarc, si sa ma avertizeze daca doresc sa trimit date

  • crocodilu

    nu era vorba de tine, Captain Obvious, nu te mai ataca degeaba :)). Era o ironie la cei care s-au mirat in asemenea hal mai sus de parca au descoperit gaura din covrig.

    Dar daca tot m-ai pornit, poti si tu sa faci in asa fel articolul incat sa nu para de parca ai descoperit cea mai mare tragedie de la Hiroshima incoace. Cred ca asta m-a facut sa scriu asa, modul in care ai scris articolul, puteai sa-l nuantezi asa incat sa nu para o mare tragedie si lumea sa inteleaga ce se intampla si cat de banala e de fapt informatia asta.
    Pentru ca trebuie sa recunosti, daca esti un user non-tehnic dar care ai totusi un iPhone si ai reusit sa si instalezi una-doua aplicatii, mai si postezi pe un forum de pe net si totusi nu-ti trece asta prin cap, ai o problema acolo sus….

    Ai facut cam ca la stiri, cand reporterii prezentau Romania inghetata si totul era pe moarte, la fatidica temperatura de minus 5 grade.

  • crocodilu

    Btw, toti prietenii mei stiu sau isi inchipuie ca programatorul unei aplicatii pe un smartphone poate lua ORICE informatie ii este oferita de SO si o poate trimite oriunde.
    Again, ar trebui sa fie o informatie banala pentru 95% din detinatorii unui iPhone care folosesc si altceva din cap in afara de gura si urechea cu care vorbesc la telefon .

  • @crocodilu: Ok, eu am spus A, tu ai mers pe B, C, D, E. Traim intr-o lume de oameni non-tehnici, nu toti care instaleaza o aplicatie isi imagineaza ca dezvoltatorul poate lua ce vrea el pentru ca nu e chiar atat de normal. Dovada ca toata porcaria asta era cunoscuta DOAR alora care au citit SDK-ul pentru iOS este scandalul in care a fost trasa iar Apple si implicarea Congresului. Astea vorbesc de la sine. Sunt sigur ca exista alte domenii in care tu esti necunoscator si unele lucruri banale pentru altii sunt noi pentru tine. Daca stii ce scrie intr-un SDK nu esti mai important decat altii si nu-ti da dretul sa ii jignesti pe aia care au un iPhone dar nu-i cunosc partea tehnica 😉

  • Lia

    Zaone, dacă tot ai publicat articolul asta, da-ne si noua o lista cu niște app-uri din Cydia pe care putem sa le descărcăm ca sa mai blocam accesul la datele noastre.

  • Privacy, ContactPrivacy.

  • Lia

    Ms mult.

  • crocodilu

    zaone, de dragul sportului, sa zicem ca un necunoscator in ale iPhoanelor foloseste…Viber. Sau WhatsApp. Sau Yahoo. Sau orice alt program de chat/mess/call
    Viber de exemplu, iti afiseaza Agenda din telefon si iti identifica prietenii care folosesc viber dupa asta, apoi foloseste numarul lor de telefon sa ii sune. (btw, o app nu poate obtine numarul de telefon al aparatului de pe care ruleaza pe iOS, de aia te pune viberu sa-ti scrii singur numarul)

    Deci Viber iti acceseaza agenta telefonica, are acces complet la ea…. are nevoie de retea, internet, asta iar e clar (sa zicem ca te intreaba asa cum sugera cineva mai sus.. VREI SA TRIMIT DATE PE INTERNET? si raspunzi da, ca altfel n-are sens aplicatia).
    In cazul asta, daca ai o farama de minte in cap, nu e greu sa te gandesti ca poate dezvoltatorul Viber-ului face colectie de agende telefonice daca vrea si tu n-ai ce face sau cum sa-l prinzi (ma rog, daca stai sa analizezi traficul de retea, de-o fi neincriptat…).

    Si atunci…ce-i asa greu sa te gandesti la 10000 de scenarii in care un programator poate face o app care sa-ti culeaga date ? Cum poti sa zici ca asta e ceva cunoscut doar celor care au citit SDK-ul ?! No offence, dar mi se pare ca asta e la mintea cocosului….
    Mie nu mi se pare ca-ti trebuie cunostinte tehnice sau stiu eu ce background ca sa faci niste legaturi banale de suprafata si sa-ti cam dai seama ce si cum.
    NIci eu nu-s mecanic auto, dar de cand s-au inventat bolovanii, stiu ca orice smecher poate sa-mi sparga geamu si sa-mi fure ce-am prin masina…

  • Daniel

    crocodilu nu inteleg de ce te ofuschezi atat a dat o informatie si da este o noutate pentru cei 30 poate 40% din cei care cumpara iphone abea invata sa instaleze o aplicatie si e bine sa stie cam ce repercusiuni ar avea o aplicatie x… ( nu toti sau nascut cu smart in degetele)

  • Diessel

    Eu m-as simti mai in siguranta daca in iOS ar exista o functie de acces la date din aparat care sa iti ceara permisiunea. Adica dpdv al programatorului accesul la astfel de date sa fie prin niste functii de sistem care la apel sa intoarca datele cerute (sa se execute cu succes) daca o alerta de sistem a fost acceptata de utilizator. Oricum in situatia de fata ma simt mai bine daca datele care pleaca din device sunt criptate indiferent daca ele pleaca cu acceptul meu sau nu. Decat un server plin cu astfel de date mi se pare mai periculos un atac de tipul “man in the middle” in care datele necriptate sa treaca pe la un tert fara ca cineva sa stie (MITM de tip ARP poisoning exact asa se manifesta, exploateaza “defectul de fabricatie” al stivei TCP/IP intre nivelele 2 si 3)

  • Flops

    As fi curios daca Blackberry permite aplicatiilor sa transmita date. De fapt nu stiu ce aplicatii folosesc userii de Blackberry