Segítség, ez az app mindent át akar írni!

Alkalmazások jogosultságai Chrome, Firefox, Android és iOS alatt

2017.02.15. 10:09

Minden eszköz biztonsága nagyrészt a használóján múlik, és ma már lehetőségünk van eldönteni, hogy az appoknak mely adatokhoz adjunk hozzáférést. Persze elég nehéz ránézésre eldönteni, hogy mi biztonságos, és mi nem, ezért mutatjuk meg a rendszerek – Chrome, Firefox, Android és iOS – appkezelőit, hogy könnyebb legyen felelős döntést hozni, és megelőzni a bajt.

A böngészők a kiberbűnözők kedvenc eszközei, mert kifinomult támadásokat tudnak rajta kivitelezni. Szó szerint bármit ellophatnak tőlünk, akár a pénzünket is. A böngésző támadásával kártékony programokat tudnak telepíteni a számítógépünkre, és ezzel rengeteg támadóeszközhöz jutnak:

  • eltéríthetik a böngészőnket, hogy a keresett weboldal helyett egy tökéletes másolat töltődjön be, ahol ellophatják például a banki adatainkat,
  • lementhetnek minden gombnyomást, beleértve a jelszavainkat is,
  • képernyőmentést készíthetnek.

Mindent meg kell tenni a böngészők védelme érdekében, ezért érteni kell, hogyan is működnek a webes appok, amelyek közt a bűnözők eszközei is megbújhatnak.

A Chrome böngészőben az adataink biztonsága érdekében két dolgot tehetünk meg. Először a beállítások oldalon érdemes megnézni Speciális beállítások között az Adatvédelem részt, ahol szabályozni tudjuk a hozzáférést az információkhoz.

Egy kattintással beljebb, a Tartalombeállítások gombra nyomva, még több hasznos eszköz kerül elő. Itt tudjuk megtiltani többek közt a földrajzi helyzetünkhöz való hozzáférést, az értesítések küldését, a mikrofon és a kamera kezelését, és hogy a böngésző miként kezelje a sütiket (Cookie). Kevesen tudják, hogy akár azt is kérhetjük, hogy minden kilépésnél törlődjenek a sütik.

Képernyőfotó 2017-02-10 - 12.40.46.png

A legóvatosabban a böngészők bővítményeivel kell bánni, mert ezek nemcsak adatokhoz férhetnek hozzá, hanem kibertámadások kiindulópontjaként is szolgálhatnak, amennyiben kártékony kiterjesztés kerül a gépre.

A legfontosabb, hogy kizárólag a Chrome Internetes Áruházból telepítsünk bővítményeket, mert ezeket a Google valamennyire ellenőrzi. Ebben persze nem lehetünk teljesen biztosak, úgyhogy azt is érdemes megnézni, hogy ki áll a bővítmény mögött. A bővítmény adatlapján rögtön a név alatt találjuk meg a forrást, a fejlesztő nevét, és jó esetben a webes elérhetőségét. A jobb oldali panel alján pedig az adatvédelmi irányelvekre mutató linket is megtaláljuk, ami szintén a fejlesztő weboldalára mutat.

A bővítmények oldala a legkönnyebben úgy érhető el, ha beírjuk a címsorba:

chrome://extensions/

Itt a saját telepített bővítményeinket találjuk meg, és szabályozni tudjuk azok futását. Eldönthetjük el, hogy melyik futhat inkognitó módban (alapból egyik sincs bekapcsolva), és megnézhetjük, hogy mihez kaptak engedélyt. Ugyanitt átmenetileg (eltávolítás nélkül) ki is kapcsolhatunk egy-egy bővítményt.

A Grammarly nevű angol helyesírás-ellenőrző app bemutató oldala, rajta a fejlesztő nevével, a jobb oldalon látható feljelentő gombbal. A fent látható kis ablak a jogosultságok listájával akkor jelenik meg, amikor rányomunk a Telepítés gombra.
A Grammarly nevű angol helyesírás-ellenőrző app bemutató oldala, rajta a fejlesztő nevével, a jobb oldalon látható feljelentő gombbal. A fent látható kis ablak a jogosultságok listájával akkor jelenik meg, amikor rányomunk a Telepítés gombra.

A Google Dokumentumok például semmilyen különleges engedélyt nem igényel, míg a Grammarly nevű kiváló helyesírás-ellenőrző az általunk felkeresett webhelyek összes adatát nemcsak olvasni, hanem írni is tudja. Ez elég ijesztően hangzik, de a program ártalmatlan, és enélkül biztosan nem oldható meg, hogy a hibásan leírt szót kijavítsa.

Akkor kell igazán aggódni, ha egy program olyan dolgokhoz akar hozzáférni, amire egészen biztosan nincs szükség a működéséhez. Ha bármilyen gyanú felmerül, logikusan végig kell gondolni, hogyan is működik a bővítmény. Néhány bővítmény csak bizonyos weboldalakra kér engedélyt az adatok olvasására és módosítására. Vegyük például a CloudHQ nevű appot, amely emaileket továbbít a Gmailből egy általunk megadott tárhelyre, és kizárólag a Google levelezőjéhez kér hozzáférést. Hogy miért kér a Grammarly minden elénk kerülő weboldalhoz hozzáférést? Azért, mert bármelyikre beírhatunk angol nyelvű szöveget (például kommentet), és ezek nyelvtani kijavításában kell segítséget nyújtania.

Ha gyanús appot találunk, akkor a Chrome Internetes Áruházban rá kell nyomni a Visszaélés bejelentése gombra, és azután ki kell tölteni egy rövid kérdőívet, hogy megindokoljuk a bejelentést.

A nyílt forráskód sűrűjében

Hasonlóan kell eljárni a Mozilla Firefox esetében, de a nyílt forráskódú böngészőnél sokkal jobban oda kell figyelni arra, hogy milyek bővítményeket telepítünk. Ezeket kizárólag a Mozilla boltjából szabad beszerezni, ellenőrizni kell a fejlesztő kilétét, és muszáj elolvasni a felhasználói véleményeket és értékeléseket.

A Firefox azért igényel nagyobb szakértelmet és odafigyelést, mert

  • nyílt forráskódú, ahogy a bővítményei is,
  • a Mozilla kevésbé ellenőrzi a bővítményeket,
  • nem tudjuk megnézni, hogy egy bővítmény mire szerzett engedélyt.

Pont a nagyobb bizonytalanság miatt fontos, hogy a Firefox beállításainál a Biztonság almenüben hagyjuk bepipálva a Figyelmeztetés kiegészítők telepítése előtt rubrikát. Ezzel megelőzhetjük, hogy a weboldalak a tudtunk nélkül telepítsenek a gépünkre káros és/vagy fölösleges bővítményeket.

Képernyőfotó 2017-02-10 - 13.03.21.png

Zsebtolvajlás 2.0

A mobilokon egészen kifinomultak a jogosultságkezelő rendszerek, mert a kiberbűnözők is sokkal többet árthatnak nekünk. Sajnos még a teljesen ártalmatlan appok fejlesztői is igen nagyvonalúan bánnak a jogosultságok bekérésével, és olyan dolgokat akarnak megtudni rólunk, amihez igazán semmi közük nincs. Szerencsére néhány gombnyomással őket is el lehet zárni a féltett adatoktól. Ráadásul az okostelefonok legnépszerűbb funkcióihoz (pl. fájlmegosztás) sokféle jogosultságot kell megadni, és tényleg csak az appfejlesztő jóindulatában bízhatunk, hogy nem él vissza vele.

Jó példa a telefonhoz való hozzáférés, amivel az app érzékeli a bejövő hívásokat, és ezáltal szüneteltetni tudja az aktív folyamatokat, amíg be nem fejezzük a beszélgetést. Ez fontos az appok és a telefonhívások zavartalan működéséhez, csakhogy ugyanez az engedély hozzáférést biztosít a készülék IMEI-számához is. Ha az IMEI-szám bűnözők kezőbe kerül, az nagy baj, mert könnyebben nyomon tudják követni az online tevékenységünket. A névjegyekhez való hozzáférés pedig ahhoz kell, hogy kényelmesen meg tudjuk osztani barátainkkal az online tartalmakat - ezzel az információval a bűnözők több lehetséges célpontot, valamint az emberek közti kapcsolatokat ismerhetik meg.

Fölöslegesen nem szabad kiadni sms-olvasási engedélyt!

Ez nemcsak a személyes üzenetekhez biztosít hozzáférést, hanem a banki értesítőkhöz és a kétlépcsős azonosításhoz kiküldött belépőkódokhoz is. Az sms-írási engedély is necces (hacsak nem kimondottan üzenetküldőről van szó), hiszen az app akár emelt díjas számokra is küldhet üzenetet.

Hasonlóan veszélyes hozzáférést biztosítani az online fiókjainkhoz (Gmail, Facebook), főleg ha olyan program kéri ezt, amelynél nincs különösebb indoka belépni oda. Ezt sajnos a normális appok is gyakran használják, hogy a Facebook-fiókhoz kapcsolódva értékes személyes adatokhoz jussanak. Ez főleg akkor hasznos nekik, ha az app hirdetésekből tartja fenn magát, mert a Facebook-profil alapján pontosabban célzott reklámokat tudnak megjeleníteni.

A kapcsolódás engedélyezésével az app bármikor kommunikálhat az interneten, akár számunkra ismeretlen szerverekkel is, a tárhelyhez való hozzáférés pedig a mobilunkkon lévő fájlok módosítását, törlését teszi lehetővé. Ezek a kérések lehetnek teljesen ártalmatlanok is, például fájlhozzáférés kell ahhoz is, hogy egy elmentett képet továbbítsunk egy barátunknak, de akkor már érdemes gyanakodni, ha egy egyszerű játék kér hozzáférést a névjegyeinkhez és a földrajzi helyzetünkhöz.

Androidon már telepítés előtt megnézhetjük, hogy milyen engedélyeket kér egy app, de ezt jól eldugták: a bemutató oldal legaljára kell gördíteni, a képek, értékelések, további appok, hasonló appok, érdekes appok és ajánlott appok listája alá, ahol a fejlesztő emailcímét is megtaláljuk. Na, ott kell megnyitni az Engedély részletei menüt.

Telepítés után a Beállítások / Appok (vagy Alkalmazások) menüben az adott app nevére bökve találjuk meg az Engedélyek menüpontot. Az Android 6.0 vagy újabb verziókon itt nemcsak megnézni tudjuk, hogy mihez fér hozzá egy app, hanem el is vehetjük tőle a hozzáférés jogát.

A jogosultságok csúszkáit mutató oldalon érdemes a jobb fölső sarokban megnyitni az Összes engedély menüjét, ahol sokkal részletesebben megismerhető az app működése. Nem csupán azt látjuk, hogy hozzáfér az adott az app az sms-hez, hanem azt is, hogy akar-e küldeni, vagy megelégszik az sms olvasásával. Az Üzenetek app nyilvánvalóan küldhet is, de a Swiftkey billentyűzet, amely az sms szövege alapján is tudja pontosítani a szóajánló rendszerét, csak olvasni akarja az üzeneteinket.

A másik módszer az, ha az Appok (Alkalmazások) menü jobb fölső sarkában lévő menüben kiválasztjuk az Alkalmazásengedélyek opciót, és az engedélyek típusa szerint nézzük végig, hogy melyik app mihez fér hozzá.

Sajnos az Android 5.0 és korábbi verziókon sokkal kevesebb lehetőségünk van, vagy elfogadjuk az összes engedélykérést, vagy nem telepítjük az appot. Az Apple iOS-en viszont egyszerűbb a helyzet, ott ugyanis a Beállítások / Adatvédelem menüben mindent megtalálunk arról, hogy melyik app mihez fér hozzá, és egy gombnyomással módosítani tudjuk a jogosultságokat.

Elképzelhető, hogy a jogosultság megvonása után az appok újra megkérdezik, hogy adunk-e nekik hozzáférést az adott funkcióhoz, de ilyenkor nyugodtan elutasíthatjuk a kérést, ha ezzel nem válik használhatatlanná az app. Arra kell még odafigyelni, hogy

frissítések településekor az appok új jogosultságokat kérhetnek.

A veszélyes appok fejlesztői is gyakran élnek ezzel a módszerrel, hogy csak egy következő verzióban kapcsolják be a személyes adatok megszerzéséhez szükséges funkciókat, amikor már sokan megkedvelték az appot.

Biztonság vs valóság

Majdnem minden tevékenységünk az internethez kötődik, akár a böngészőt, akár appokat használunk, és ránézésre általában minden a legnagyobb rendben van. A valóság ezzel szemben az, hogy az appok és a böngészők csak akkor nyújtanak nekünk stabil és erős védelmet, ha a biztonságot mi is mindig szem előtt tartjuk. Ezért kell néha ránézni a telepített és az online appok jogosultságaira, előbb olvasni, utánajárni, és csak aztán rányomni a Telepítés gombra.

Ötlete, vagy kérdése van?