20:54
28/1/2014

To, że Facebook automatycznie analizuje wiadomości, które wysyłamy za pomocą wbudowanego w niego modułu chatu już wiemy od dawna — Facebook tłumaczy to ochroną przed pedofilią. Jednak najnowsza aktualizacja aplikacji Facebooka na Androida prosi także o uprawnienia pozwalające na zapoznanie się z treścią otrzymywanych przez użytkownika SMS-ów i MMS-ów. Po co? Można się tylko domyślać…

Po co Facebookowi dostęp do SMS-ów?

I tak, przykładowo, jeden z internautów sugeruje, że Facebook zamierza wykorzystać treści SMS-ów do profilowania reklamowego. Inni stawiają hipotezę, że być może chodzi o odczytywanie SMS-ów weryfikujących numer telefonu użytkownika…

Te uprawnienia możemy Facebookowi zabrać

Niezależnie od tego, jaki jest powód wprowadzenia żądania nowych uprawnień — jeśli się wam one nie podobają, możecie je Facebookowi zabrać. Wszystkim posiadaczom Androida 4.3 i 4.4.1 przypominamy o module App Ops, który pozwala na podejrzenie jakich uprawnień żąda aplikacja. Tam też możemy odwołać uprawnienia aplikacji (i jest szansa, że dalej będzie działać, choć być może nie w pełni).

Aps Ops

Aps Ops w Androidzie pokazuje uprawnienia aplikacji i pozwala je “zabrać”

Alternatywą jest …całkowite odinstalowanie Facebookowej aplikacji i korzystanie z serwisu przy pomocy przeglądarki internetowej, mobilnej. Da się.

Nie korzystasz z Facebooka? To nic, on i tak ma już twój numer telefonu

Tak się złożyło, że dziś obchodzimy VIII Dzień Ochrony Danych Osobowych. W ramach tego wydarzenia GIODO zorganizował dziś konferencję, na której miałem przyjemność wystąpić w panelu poświęconym aplikacjom mobilnym — poruszaliśmy głównie wątek (niedostatecznej) ochrony prywatności przez aplikacje mobilne.

Prowadzący panel, Wacław Iszkowski na starcie zapytał uczestników (głównie środowisko prawnicze), kto odbiera pocztę na swoim smartphonie. Las rąk. Przy pytaniu o korzystanie z Facebooka w górę powędrowały tylko nieliczne ręce — nie ta grupa docelowa, nie ten przedział wiekowy… Warto jednak mieć świadomość, że ci, niekorzystający z Facebooka (nie tylko na telefonie) ludzie, zapewne już od dawna są w bazie danych Facebooka.

Kto ich dodał? Znajomi, którzy mają ich numer wpisany w swojej książce kontaktowej w smartphonie. Jakim cudem? Ano takim, że aplikacja mobilna Facebooka (podobnie jak i Twittera) prosi użytkowników o dostęp do książki adresowej, a następnie “wykrada” kontakty (imię, nazwisko, adres, adres e-mail, numer telefonu) i przesyła do producenta aplikacji.

Informacja o "wykradzeniu" kontaktów przez Facebooka

Informacja o “wykradzeniu” kontaktów przez Facebooka

Motywacja Facebooka/Twittera jest jasna — takie dane zasilają grafy powiązań, na których opierają się sieci społecznościowe. Dzięki temu Facebook może nam magicznie zasugerować znajomych “którzy już mają konto na Facebooku”. Skąd wie, że ich znamy? Z analizy pozyskiwanych książek adresowych.

Informacja o wykradzeniu kontaktów przez Twittera

Informacja o wykradzeniu kontaktów przez Twittera

Co ciekawe, do niedawna aplikacje mobilne po cichu “wykradały” książki adresowe bez pytania użytkownika, ale po kilku aferach teraz jasno informują użytkownika i proszą go o zgodę — sami twórcy mobilnych systemów operacyjnych też zdecydowali się na przycięcie tych praktyk.

PS. Inna ciekawostka ze spotkania na VIII Dniu Ochrony Danych Osobowych to …aplikacja iKASA do obsługi płatności mobilnych w Biedronce (ta z której reklamówki śmialiśmy się kilka miesięcy temu) która podobno prosi o uprawnienia dostępu do ostatnio wykonywanych połączeń telefonicznych… Ktoś wie po co?

PPS. Powyższe to nic. Warto bowiem zauważyć, że aplikacje w ogóle nie muszą pytać o zgodę na wykorzystanie akcelerometru — a przecież poprzez dostęp do niego i stały odczyt parametrów można, jak wiemy, zbudować udowny keylogger.


Przeczytaj także:



54 komentarzy

Dodaj komentarz
  1. Zepsuły Wam się linki w ostatnim akapicie.
    A “App Ops” nie ma na >4.4.2. :-(

    • Bez problemu możesz na przykład użyć Xposed i modułu “AppOpsXposed” ;)

    • Tak apropo psucia: “zbudować udowny keylogger.” – powinno być: cudowny.

    • “udowny” podkreśla, że nie zawsze keylogger zadziała ;)

    • Jak nie ma, jak jest na 4.4.2

      https://play.google.com/store/apps/details?id=com.colortiger.appopsinstaller

      Dziala na N4 stock, Omni, CM

    • Chciałbym zauważyć, że wynalazki typu App Ops czy App Ops X są dość okrojone i nie pokazują wszystkich uprawnień. Zamiast tego polecam zajrzeć do XPrivacy, modułu Xposed.

  2. Banalne. Podobnie jak od niedawna w przypadku Hangouts od Google, oraz appki typu Tango, idzie o zintegrowanie komunikacji tekstowej tak, aby dla usera było przezroczyste, czy korzysta w danym momencie z komunikatora (i którego), twittera, czy z SMS/MMS (i docelowo maila).

    Idzie się w kierunku multikomuniatorów tym sięróżniących od dajmy na to Pidgina czy Mirandy, że obejmujących także SMS/MMS

  3. App Ops wskoczył bodajże od Androida 4.3, a nie 4.4. W 4.4.2 go zablokowali tak, że bez modyfikacji systemu nie da się do niego dostać.

    • 360 Security od Qihu pozwala na blokowanie dostępu do wybranych uprawnień pod 4.2.

  4. Szkoda tylko, że to “całkowite odinstalowanie” w brand’owanych telefonach jest praktycznie niemożliwe.

    • Pod tym względem wolę niebrandowane chinczyki. Tam pewnie sprzętowo lądują keyloggery, ale przynajmniej nie ma bloatware i crapware od operatora czy producenta.

  5. Messenger prosil o uprawnienia do czytania smsow poniewaz wprowadzali mozliwosc czytania smsow przez ich aplikacje i ich dymki. Zapewne aplikacja FB chce wyprzec inne aplikacje do smsow. Przy okazji sobie poczytaja ale to inna kwestia.. ;)
    Dlatego nie wgrywalem najnowszej aktualizacji.

  6. Robienie afery z oczywistej sprawy :I

    • Nikt nie robi afery. Redakcja jedynie informuje, bo przekonała się, że nie każdy wie.

    • Nie robienie afery tylko nagłaśnianie. Jak mądrzejszy nie tupnie, to niestety cała reszta będzie dalej bezmyślnie łykać wszystko co się pojawi. :P

      Też mi się to nie podoba i niestety szkoda, że AppOps nie wszędzie jest domyślnie dostępny. Niestety coraz więcej apek na Androidzie korzysta z zewnętrznych bibliotek reklamodawców. Na reklamy można się zgodzić, ale wykradanie prywatnych danych, bez możliwości wyłączeni tego to już inna sprawa.

  7. Czy to, że facebook pozna mój nr. telefonu bez mojej wiedzy i zezwolenia bo głupi znajomy się z nim podzielił całą książką adresową jest legalne?

    • Edukuj znajomych…

    • To rzeczywiście interesujące pytanie.

      Czy FB nie łamie prawa (przynajmniej w Polsce) przechowując dane osobowe (imię, nazwisko, numer telefonu) danej osoby, chociaż ona nigdy nie wyrażała na to zgody (a potencjalnie nawet nigdy nie odwiedziła strony FB)?

    • Imię i nazwisko to nie dane osobowe. Poczytaj.

    • Piotr Konieczny – łatwo powiedzieć. Ja chciałem wyegzekwować coś tak banalnie prostego jak zakaz wrzucania moich zdjęć na FB – każdemu przy każdej okazji robienia zdjęć wspominałem, że nie chcę aby trafiły na facebooka. I co? I kilkanaście fotografii poszło do bazy NSA bez mojej zgody.
      Niestety – prosić sobie można. W rzeczywistości coś takiego jest nie do wyegzekwowania. Nawet po Snowdenie.

  8. Wróciłem do wersji fabrycznej i uprawnienia do odczytu zniknęły. Ciekawe, że np aplikacja Twittera ma możliwość “odbierania wiadomości SMS” a FB odczytu. W czym różnica?

    • Może chodzi o to, że Facebook zna wszystkie szczegóły wiadomości – od kogo, dla kogo, kiedy itp. łącznie z treścią, a Twitter to wszystko oprócz odczytywania treści

  9. Pytanie może trywialne, bo nie używam Androida, mianowicie: czy jeśli mój znajomy ma mnie na swoim Nexusie w książce i załóżmy używa na nim mobilnego FB i ma mnie tam wpisanego np. po xywce, a na FB mam podane fałszywe nazwisko, to czy taki sposób zadziała? Czy te Androidowe knigi adresowe mają jakieś możliwości powiązania kontaktu z addressbook z kontem na FB, nawet ręcznie? Np. Oddzielne pole w rekordzie, typu link do FB dla tej osoby?

    • Tak. Można powiązać kontakty. W ‘kontatktach’ wciskasz przycisk menu i masz opcję ‘scal konta’, gdzie możesz połączyć kontakty z różnych źródeł np. z google mail, skype, facebooka, twittera, whatsappa itd. Prawdopodobnie każdy kto ma podłączone wiele aplikacji tego użyje, bo w przeciwnym wypadku kontakty się powtarzają.
      Po połączeniu kontaktu jest opcja ‘zaznacz jako domyślne’ w samym już kontakcie, gdzie można wybrać np. które zdjęcie ma pokazywać się domyślnie, który telefon jest prawidłowy itp.
      Zatem nawet jeśli na facebooku nazywasz się A.B., zaś na gmailu masz całe imię i nazwisko, to wystarczy jeden znajomy z Androidem który połączy te dwa konta u siebie w telefonie :P

  10. Szczyglis, tak, istnieje taka funkcja jak powiązanie kontaktów. HTC potrafi nawet wyświetlać w książce adresowej ostatni status z fb danej osoby.

  11. Chciałem tylko dodać że MIUI ma wbudowaną możliwość odebrania dowolnych uprawnień wybranej aplikacji.

  12. Używam FB Messengera od dłuższego czasu. Jakiś czas temu pojawiła się opcja używania go jako appki do obsługi SMS-ów. Nigdy tego nie włączyłem. AppOpps pokazuje przy SMS/MMS “Never used”.
    Co do grafów powiązań – mam w telefonie kontakty do osób, które mają konto na facebooku, a których nie mam tam w znajomych. Nigdy nie widziałem podpowiedzi, że mogę ich znać.
    O ile warto kontrolować dostęp róznych aplikacji do różnych naszych danych i mieć świadomość zagrożeń, to nie popadajmy w paranoję, że co druga aplikacja robi pełny backup danych z naszego telefonu.
    P.S. ta “Najnowsza aktualizacja” miała miejsce o ile pamiętam kilka miesięcy temu.

  13. Dla czego kazda aplikacja sama sobie bierze uprawnienia
    jakie.chce???? Moj telefon wiec ja decyduje!!!! Root-a nie mam wiec
    dupa. Kiedy w koncu uzytkownicy wymusza ta zmiane na
    google???

  14. Facebook kradnie to, tamto, podgląduje, inwigiluje, TU DODAJ INNE RZECZY – a ludzie nadal z niego korzystają -.- WTF ? Gdzie czasy irc’a..

    • Pewnie wrócą w nowych szpiegowskich wersjach tak jak FTP wrócił pod nazwą dysk w chmurze

  15. Facebook padnie za kilka lat. Albo za sprawą czystego
    znudzenia, albo większej afery.

    • Za dużo kasy z tego mają, żeby im się znudziło.

    • chodzilo raczej o znudzenie sie uzytkownikom, i tak, znudzi
      sie tak jak bylo z tym calym nk

    • Nie sądzę, że użytkownikom się znudzi… bo gdzie uciekli z nk? Właśnie na fb.
      Na nk byli i są tylko Polacy, na fb są ludzie z całego świata.

  16. Niby nic nowego ale za każdym razem jestem zaszokowany, że
    ludzie takich rzeczy używają i jeszcze się z tego
    cieszą…

  17. W 2012 już był poruszany temat uprawnień ww. aplikacji do SMSów:
    http://www.conowego.pl/aktualnosci/facebook-odpowiada-na-zarzuty-dotyczace-ochrony-danych-4670/
    A w grudniu powiększyła się lista uprawnień jakie aplikacja żąda:
    http://www.wykop.pl/ramka/1755046/aktualizacja-facebooka-zmiana-uprawnien-aplikacji-po-cichu/

  18. Warto by było uściślić, że nie chodzi o Messengera, ale o główną aplikację Facebooka.

  19. Pojawił się nowy spambot na FB z “filmami” ze studniówki. Zaczepia i spamuje… kiedy to się skończy?…

  20. Wielka nowość… Google kradnie kontakty z telefonu już od dawna, to FB nie mógł być gorszy.

    Czekam teraz na aplikację NSA, którą sobie “nie mający nic do ukrycia” sami zainstalują.

  21. W przypadku Facebooka wiele uprawnień da się DOŚĆ racjonalnie wytłumaczyć: SMS i MMS – integracja Messengera z wiadomościami, możliwość wysyłania smsa zamiast wiadomości na Facebooku; dostęp do kalendarza – możliwość dodawania wydarzeń bezpośrednio z poziomu aplikacji, to za sobą pociąga integracje z Androidowym kalendarzem: dodajemy wydarzenie, automatycznie dodaje się ono nam do kalendarza Google oraz powiadamia osoby zaproszone mailem o wydarzeniu; dostęp do zmiany wifi – nie mam pojęcia jak i po co to miałoby być, być może cykliczne włączanie i rozłączanie wifi w celu sprawdzenia nowych wiadomości i postów.
    To tylko zaproponowane wytłumaczenie z mojej strony, sam nie korzystam z aplikacji Facebooka na telefonie, więc nie mam się o co martwić :) Aczkolwiek pełna integracja serwisu z telefonem wymaga pewnych uprawnień.

    Zresztą temat uprawnień w Androidzie to temat rzeka i Google mogłoby to jakoś usprawnić, np. dodając możliwość komentowania przez deweloperów poszczególnych uprawnień – wiadomo, że jak ktoś chce wykradać dane to i tak napisze tam bzdurę, ale część uprawnień na pewno by się wyjaśniła.

    • dostęp do zmiany wifi – tu chyba chodzi o to że telefon informuje aplikacje z tym czy internet jest czy nie i czy jest sens odpytywać serwer co kilka minut jak nie ma internetu.
      A swoją drogą jakoś nie zauważyłem żeby dało się przez aplikacje główna odczytywać/wysyłać SMS’y

  22. Ciekawe, jak to wygląda w IOS – jakoś nie widzę opcji wył/wł dostęu do mojej skrzynki sms w menu – może to być zapisane w aplikacji i nie mam do tego dostęu ? Mam możiwość zablokowania dostępu dla aplikacji do zdjęć, mikrofou czy kontaktów (ale nie dla FB)
    Pozdr

  23. @Leszek. iOS restrykcyjnie podchodzi do tego. Appka nie może przeglądać ani poczty ani SMS. Appka nie może nawet wysłać ani smsa ani maila. Jedyne co jej wolno to wysłać do programu pocztowego lub Messages spreparowaną wiadomość gotową do wysłania (adres i treść) ale sam świadomie tą wiadomość musisz wysłać naciskając przycisk Wyślij już w programie Mail/Messages. W związku z tym nie ma takich ustawień pod iOS.

    • Apka jakiejs firmy 3ciej oczywiscie nie, poniewaz do tych danych ma miec dostep TYLKO i WYLACZNIE Wielki Brat – i pisze to w 100% powaznie.

  24. A Gadu-Gadu? Też czyta SMSy i MMSy. Mimo wszystko autorzy bronią się tym, że chcą wprowadzić funkcje (nie wiadomo jaką) która będzie tego potrzebowała. Po co więc uprawnienia, skoro takiej funkcji nie ma? Niesmak pozostaje.

    • trzeba bylo ne aktualizować :)

  25. facebook facebookiem ale po co latarce taka informacja?

    :)

    @grzyb google musiałoby wiele naprawić i powoli to robi – tyle że na aktualizacje mało kto może liczyć….
    uprzedzę że xda nie załatwia sprawy

  26. Odpowiedź z icp-polska, czyli firmy, która zareagowała na moje zgłoszenie w sprawie ponadoczekiwanych, jak się wydaje, uprawnień wymaganych przez aplikację iKASA:

    “Aplikacja pobiera wyłącznie IMEI telefonu, numer telefonu oraz informacje o urządzeniu(rozmiar wyświetlacza, nazwę producenta, system operacyjny). Dane te są wykorzystywane w celu zwiększenia bezpieczeństwa aplikacji.

    Nie pobieramy, nie przetwarzamy, ani nie przechowujemy żadnych danych osobowych.”

  27. Dlatego tez telefon z Androidem to dla mnie farsa. Ale coz, ja nie mam – znajomy ma i juz jestem w bazie NSA. To jest syf totalny. Android, iOS, Google Maps, Google Mail, Google, wszelkie chmury powinny byc prawnie zakazane. Jednak badzmy realistami, kto je zablokuje – politycy siedzac co do jednego w kieszeniach korporacji i Bialego Domu oraz uzywajacy przypuszczalnie najbardziej inwigilowanego sprzetu czyli iPada?

    • To samo tyczy się każdego mobilnego OS i producenta smartfonów. Domyślam się, że ty używasz gołębi pocztowych do zdalnej komunikacji interpersonalnej, ale nawet one nie gwarantują prywatności.

  28. Jesli telefon jest zrootowany (a powinien byc) to xprivacy polecam. Nie trzeba appce odbierac praw, ale mozna jej podrzucic falszywe dane. I tak FB mysli ze na telefonie nie ma SMS-ów a telefon jest na Hawajach.

  29. Już wyjaśniam do czego te uprawnienia, aplikacja messanger jest w stanie odbierać smsy zamiast stockowego programu to do tego potrzebne są uprawnienia :)

  30. Podobno rynek nie znosi próżni a na rynku od jakiegoś czasu jest wielka luka na telefon linuksowy.

    • A Android czym jest?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: