סיפור להתחלת השבוע - מדוע צריך לתת למקלדות צד ג' גישה מלאה

[se7en77]

סיפור להתחלת השבוע - מדוע צריך לתת למקלדות צד ג' גישה מלאה

“Full access allows the developer to transmit anything you type, including things you have previously typed with this keyboard. This could include sensitive information such as your credit card number or street address.”
מה דעתכם על זה ?

המקלדות מבקשות גישה מלאה כדי להציע ולשפר את המאגר שלהן לחיזוי וכדומה , מצד שני הן בעצם עושות רישום של כל מה שמקלידים כולל סיסמאות , כרטיסי אשראי ואפילו מידע על אתרים וחיפושים שביצעתם .
האם ובאיזו רמה אתם סומכים עליהן ?

 

[noa_f]

לא סומכת ולא התקנתי.

אני זוכרת התלבטות דומה של אבא שלי, כשקנה איזה טבלטון סיני לפני שנתיים ומשהו. והוא היה זקוק למקלדת צד ג׳ בשביל עברית. אז עד היום הוא לא עושה שום דבר משמעותי על הטבלט.

 

[se7en77]

לא מתכוון להתקין חלופית עד שזה לא יישתנה.

 

[BravoMan]

זו לא הרשאה, זה הגיון פשוט:

מקלדת, כל מקלדת, בין אם ווירטואלית או פיזית, יודעת בדיוק מה אתה מקליד, כי אתה מקליד עליה.
וזה אומר, שהמקלדת יכולה (כן גם מקלדת פיזית במקרים מסוימים) לשתף את המידע הזה עם מישהו אחר.
&nbsp
איך אתה מצפה שהמקלדת תאפשר לך ללחוץ על אות, ואז תגיד למערכת הפעלה "משתמש לחץ על אות X", בלי שהיא תדע על איזו אות לחצת?
&nbsp
באופן תאורטי, אפשר לצמצם את הסיכון, אם דואגים שלמקלדת הווירטואלית לא תהיה גישה לאינטרנט.
אבל יש עם זה שתי בעיות:
א) ב-iOS בניגוד ל-Android אין בכלל הרשאה כזו, אז לעולם לא תדע אם המקלדת מדברת עם מישהו.
ב) היות ומדובר במקלדת, גם בלי הרשאה היא יכולה לפתוח דפדפן, ולהקליד כתובת שכוללת כפרמטר מידע שהקלדת, וכך לצאת לאינטרנט בלי לצאת לאינטרנט.
&nbsp
בסופו של יום, זו שאלה של כמה אתה סומך על יצרן התוכנה שאתה משתמש בה.
זה נכון לגבי כל תוכנה - גם מערכת הפעלה, גם הדפדפן שאתה גולש דרכו, וכמובן המקלדת הווירטואלית, או אפילו הפיזית.
&nbsp
אגב, אם חשבת שעד היום Apple לא יודעים כל אות ואות שאתה מקליד במכשיר, בוא נגיד שיש לך משקפיים מאוד וורודות

 

[se7en77]

ממשיך עם החוסר ידע שלך.

1. אתה יכול לשלוט בכל תוכנה האם היא תצא החוצה או לא ,לקבל את רשימת השירותים המשותפים שהיא מבקשת עם אפשרות לנטרל דברים לאחר הריצה , באנדרואיד אתה לא מסוגל להתקין תוכנה בלי קבלת ההרשאות ושלא נדבר על לשנות הרשאות לאחר מכן.
מאפל אני לא מודאג , אני מודאג ממקלדות של חברות אחרות .
בתפוח שמפעילים תוכנה , שתהיה זדונית ככל העולה על רוחה אתה תקבל הודעה שהתוכנה מנסה לגשת לאנשי קשר , תמונות ואתה יכול לאשר או לא .
באנדרואיד חלק מהמשתמשים עושים רוט , מתקינים רומים שאף אחד לא יודע מה נעשה שם וכיו"ב ככה שזה לא מטריד אותם.

 

[BravoMan]

באמת? ממתי?

אומנם יש אפשרות למנוע מתוכנות להשתמש בחיבור סלולרי (מן הסתם כי זה עולה כסף), אבל היכן בדיוק יש הגדרה, שמאפשרת למנוע מיישום נתון להתחבר לאינטרנט דרך WiFi?
&nbsp
אגב, ROM חלופי ו-root דווקא מאפשרים לשפר את האבטחה והפרטיות, אבל לא כאן המקום להתווכח על זה...

 

[se7en77]

עדכון יישומים ברקע ....

 

[BravoMan]

וזה ימנע מהיישום לתקשר כאשר אינו ברקע?

 

[se7en77]

לא , רק ברקע .

אין כרגע משהו שאני מכיר שמונע את הגישה שהתוכנה מחוברת ל-WIFI פרט לניתוק ה-WIFI.

 

[BravoMan]

זאת אומרת, שכמו שטענתי במקור, יישום יכול לרוץ, ולתקשר דרך

האינטרנט, והמשתמש לא ידע בכלל שהוא מסוגל לזה, כי ב-iOS בניגוד ל-Android, היישום לא מחויב לבקש הרשאה לאינטרנט.
דברים אחרים - כן, אינטרנט - לא!
&nbsp
זה הבדל די חשוב:
אם ב-Android אני מתקין מקלדת שלא ביקשה הרשאה לאינטרנט, אני יכול להיות סמוך ובטוח שהיא לא משדרת את מה שאני מקליד לאף אחד, לא ברקע, ולא קדימה, לא ב-WiFi, לא בסלולר, ולא דרך חיבור למחשב.
&nbsp
ב-iOS, למעט סגירת התקשורת של המכשיר, אי אפשר להבטיח דבר כזה.
אולי בגרסה 9.
&nbsp
אגב, לפי מה שראיתי, למכשירים פרוצים שי Firewall שיכול לעשות בדיוק את זה - לסנן גישה פר אפליקציה, בלי קשר לסוג חיבור הנתונים הזמין, גם כשהאפליקציה רצה.

 

[se7en77]

בגלל זה אמרתי מראש שעל מקלדות אני לא סומך כי היא מבקשת

הרשאות להכל .
&nbsp
טענת ש: א) ב-iOS בניגוד ל-Android אין בכלל הרשאה כזו, אז לעולם לא תדע אם המקלדת מדברת עם מישהו וזה לא נכון , אתה תראה שהיא מבקשת גישה לאינטרנט ותחסום את זה , ב-WIFI לפי מה שאני יודע לא ניתן לחסום אותה , יכול להיות שיש הגדרה שאיני מכיר ( אבל מראש אני לא אתקין אותה אם אני אראה שהיא מבקשת גישה לאינטרנט ).
&nbsp
מצד שני באנדרואיד אתה לא יכול להתקין תוכנה לניהול החשבון בבנק הפועלים בלי שאישרת לה הכל , באייפון תתקין ואז תערוך את ההרשאות ותחסום מה שאתה רוצה.

 

[noa_f]

אבל האם יש כאלו?

עברתי על ה-15 מקלדות ראשונות בפליי סטור (חיפוש: keyboard) ורק אחת מהן לא כתבה בפירוש בהרשאות שהיא תקבל full network access.
1:14 - זה לא יחס כ״כ אופטימי...
אז חיפשתי משהו יותר ממוקד, למשל הכתבה הזו ב-android authority על 15 המקלדות הטובות ביותר לאנדרואיד. כאן מצאתי 3 מקלדות שלא ביקשו גישה מלאה לרשת. קצת יותר טוב...

ואגב, רק לידיעתך: זה עדיין לא אומר שהן לא יעשו את זה אח״כ. גוגל שינתה את מדיניות ההרשאות ל״קבוצות של הרשאות״. וחלק מהשינוי הוא שאפליקציה יכולה להוסיף או להוריד אלמנטים בתוך כל קבוצת הרשאות - לאחר עדכון - ללא התראה למשתמש שכבר התקין אותה וללא צורך באישור. משתמש שהאפליקציות שלו מתעדכנות באופן אוטומטי יכול לא לשים לב לכך שהעדכון כולל הרשאות נוספות.
היוצאת מהכלל היא קבוצת other, שכנראה כיוון שהיא מאוד מגוונת, הוספה של הרשאה בתוכה כן מבקשת אישור לפני עדכון התוכנה. לשמחתך, הרשאת גישה מלאה לרשת יושבת תחת other.
אז אפשר כמובן לבטל עדכונים אוטומטיים ואפשר גם לא לאשר עדכון שכולל פתאום בקשה לגישה לרשת. אבל אם העדכון כולל משהו שאתה צריך - כמו תיקון באג שהציק לך או סגירת פרצת אבטחה? אתה מוותר גם עליו. ואם שילמת מכספך על האפליקציה, דפקו אותך משני הכיוונים: גם שילמת וגם אתה לא יכול לקבל שירות (עדכון).

ועוד נקודה: מתוך 3 המקלדות שמצאתי שלא מבקשות גישה מלאה לרשת, אחת עדיין ביקשה גישה לכל מיני אספקטים אחרים של המכשיר, חלקם הגיוניים (מיקרופון) וחלקם תמוהים: read your contacts, test access to protected storage - האם יש לה דרך להעביר הלאה את הדברים דרך אפליקציה אחרת? הרי באנדרואיד יש לאפליקציות יכולת גישה זו לזו. האם היא פשוט יכולה לשלוח דרך אפליקציה שכן אישרת לה גישה לרשת? אם לא, לשם מה היא זקוקה להרשאות הללו? מה משמעותן?

 

[BravoMan]

טוב, בגדול אני רואה שענית לשאלה שלך בעצמך,

ואני שמח לשמוע שהתשובה היא "כן".
&nbsp
האמת שהמקלדת צד שלישי היחידה שאני משתמש בה, היא "hackers keyboard" שלא דורשת שום הרשאות, וגם לא מספקת שום פיצ'רים מיוחדים.
&nbsp
למרות השם המפחיד שלה, הדבר המיוחד היחיד בה, והסיבה שאני משתמש בה לפעמים, זה שהיא מציגה פריסה של מקלדת PC רגילה, עם גישה קלה לכל מיני סימנים שאינם נמצאים בשימוש רב בד"כ ולכן מוחבאים עמוק במקלדת הרגילה, וגם נותנת מקשים שלא קיימים במקלדת הרגילה כמו חצים ו-Alt ו-Ctrl.
&nbsp
אלה דברים שאני צריך במסגרת עבודתי בכמה אפליקציות, כמו זו שמאפשרת לי לנהל שרתים ישירות מה-Nexus 7 שלי.
&nbsp
רק כדי לענות על הפסקה האחרונה שרשמת:
ההרשאה " test access to protected storage" היא "תופעת לוואי" להרשאה לכתוב לאחסון המשותף.
הוא כרגע לא בדיוק מוגן, כלומר לא מוצפן (לפחות לא בברירת מחדל).
&nbsp
אז, האם תאורטית אפליקציה יכולה לזרוק קובץ באחסון המשותף (היכן שכל התמונות שלך ודברים דומים), ושאפליקציה אחרת תקרא את הקובץ ותשדר אותו?
כן. אבל רק אם האפליקציה האחרת נבנתה בדיוק למטרה הזו.
אז צריך לבדוק מה מתקינים.
&nbsp
לגבי גישה לאנשי קשר, אם זו הרשאה הגיונית או לא, תלוי בפיצ'רים שהמקלדת מציגה.
אם היא נותנת השלמה של אנשי קשר, אז זה הגיוני מן הסתם, אם לא, אז זה חשוד.

 

[se7en77]

עוד באג שהתגלה - האופציה RESET ALL SETTINGS

בהגדרות מוחקת מידע מהענן למרות שהיא אינה אמורה לעשות את זה.
&nbsp
http://www.iclarified.com/44273/war...s-function-is-erasing-files-from-icloud-drive