Pozor na premium SMS v Androidu

[xtonda]

Android pro aplikace definuje tato oprávnění týkající se SMS, v tomto případě je klíčové SEND_SMS.

BROADCAST_SMS - Allows an application to broadcast an SMS receipt notification.
READ_SMS - Allows an application to read SMS messages.
RECEIVE_SMS - Allows an application to monitor incoming SMS messages, to record or perform processing on them.
SEND_SMS - Allows an application to send SMS messages.
WRITE_SMS - Allows an application to write SMS messages.

V případě instalace aplikace (a to i z neznámého zdroje - sideloading) se požadovaná oprávnění zobrazí a uživatel je musí potvrdit. Pokud mám v telefonu SIM s povolenými premium SMS a vysoký kredit nebo paušál, tak si prostě při instalaci aplikace musím požadovaná oprávnění zkontrolovat a pokud je tam posílání SMS, tak si rozmyslet, jestli té aplikaci budu věřit.

Pokud jako v tomto případě k problému už došlo, tak držitel čísla je jasný a je jeho problém komu své služby přeprodává, takže na držitele čísla bych podal reklamaci a pokud se k tomu nepostaví čelem, tak trestní oznámení. Samozřejmě by pomohlo, kdyby byl k dispozici obsah těch SMS, předpokládám, že aplikace to po sobě smazala, takže je otázka jestli se tyto de facto platební transakce někde logují a jestli se k nim Odorik může dostat.

Taky by bylo vhodné projít nainstalované aplikace a prověřit ty, které mají oprávnění odesílat SMS. Pokud skutečně nedošlo k instalaci aplikace mimo Play Store, tak seznam aplikací nainstalovaných na zařízení je i v Play Store. Bohužel u free aplikací nelze zjistit datum jejich instalace. Nicméně pokud se aplikaci podaří identifikovat a skutečně byla nahrána z Play Store, tak i toto by mohla být stopa, i u free aplikací je pro založení účtu v Play Store účtován poplatek, takže toto by mohla být cesta jak podvodníka najít (musel do Google Wallet zadat kartu), ovšem je otázka jak by se k tomu postavil Google.

Pokud jde o přístroje s Androidem, tak Gigabyte GSmart Roma R2 je parametrově dost křáp a navíc i pochybná značka. Já používám Android od prosince 2010, postupně Dell Streak, Samsung Galaxy Note a teď krátce Huawei Mate7. Dell byl v tomto segmentu nezkušený výrobce a dost na něm blbla WiFi. Se Samsungem i Huawei sem spokojen. Nahrazoval sem tím Windows Mobile PDAčko a tím stylem to i používám - chytré zařízení do kapsy s přístupem na Internet, i když v poslední době s tím i volám - callbacky a pokud je sem doma na pevném netu nebo v kanceláři na dobrém LTE tak i VoIP, mám v tom extra datovou SIM. Na normální volání, tedy zejména příchozí - odchozí řeším tím callbackem a VoIPem, a SMS mám tarif od ČEZ a hloupý telefon, SonyEricsson Cedar, poslední jejich klasický telefon.

Každopádně je přehnané říkat, že Android je děravý, instalaci aplikace potvrzuje uživatel a to i v případě instalace z neznámých zdrojů, tuto možnost je navíc nutno explicitně povolit. Ano Apple aplikace v obchodě více kontroluje, i když je otázka zda by normálně se tvářící aplikaci se skrytou záškodnou funkcí vždy odhalil, a nepovoluje instalaci mimo obchod. To už je ale značně šikanózní, pokud se Applu někdo z nelíbí, nebo se mu nelíbí téma aplikace, tak má autor i uživatelé smůlu.

[xsouku04]

Android je podstatně nebezpečnější než třeba iOS od Apple. Tedy jde to, jen google má jiné priority. Druhá věc je, že aplikace běžně vyžadují práva, která nepotřebují, a tím objevení podvodných aplikací značně komplikují.
Přenášet zodpovědnost na běžného BFU, že má, co si povolil, je ale alibizmus.
Vše je otázka kompromisů a android se snaží být co nejsvobodnější (dovoluje např. rychlé aktualizace aplikací - bez delšího schvalovacího procesu - snadnější zavlečení škodlivého kódu do aplikace) a je hodně pokrokový (dříve než odladí jednu verzi má dvě nové).
Je to prostě jeho vlastnost ze vším dobrým a špatným. Pracujete-li s ostrým nožem, je dobré znát nebezpečí, které to přináší. Je práce s ostrým nožem nebo androidem vhodná pro BFU?

Řešení je ale snadné a nemusí to být hned v tom, že zavrhnete android. Nepovolujte si premium SMS. Popřípadě si povolte jen ty s čísly začínajícími 902 (např. SMS jízdenka), které jsou výrazně bezpečnější a nebo si je povolte jen na tu chvíli, kdy je opravdu chcete využít.
Také pozor na to.aby vám někdo na dálku nevysosnul z balíčku všechna data, třeba rozesíláním spamů a pod ... Nebo internetové bankovnictví jen přes aplikaci z mobilu není dvakrát dobrý nápad.

[xsouku04]

Dotaz na Odorik, jak se k tomuhle konkrétnímu problému staví APMS, příp. samotný Airtoy? APMS takové porušení kodexu obvykle tvrdě postihuje (=zákazník zjevně nemohl být předem informován o ceně služby apod.) a stejně tak Airtoy je myslím dost velký na to, aby si nedovolil provizi z takového provozu vyplácet dál. (nehledě na to, že pokud je příjemcem firma či osoba v ČR, je obvykle snadno dohledatelná i třeba Policií.. jen se takové zjišťování protáhne i prodraží).

O existenci apms.cz jsem nevěděl, kontaktovat Airtoy mne nenapadlo, nečekal jsem, že by to mohlo být k něčemu dobré. Je pravda, že kdyby se podvody tohoto typu rozšířily nad přijatelnou mez, business s premium čísly to zabije, protože si tyto služby naprostá většina lidí povypíná a jakékoli použití tohoto čísla by působilo více neseriózně než nyní. Tedy krýt nějakého podvodníčka asi není v zájmu Airtoy ani velkých mobilních operátorů. Děkuji za tip. Poslal jsem email do Airtoy s kopíí do APMS a T-mobile. Jsem zvědav na reakce.

[xtonda]

Android je více svobodný což samozřejmě znamená, že je snazší si zařízení zaneřádit nějakým. Rozhodně ale méně než PC systémy. Co si tam uživatel dá, to tam má. Každý má za sebe zodpovědnost, stejně tak se každý může svobodně uchlastat k smrti. Pokud někdo není svéprávný, ať si koupí iPhone, kde za něj ó Velký Apple rozhoduje co je a co není vhodné. Nebezpečný by znamenalo že je tam například zranitelnost kdy hrozí riziko zavlečení aplikace např. prostou návštěvou webu.

[mobilemanic]

xtonda: Ani Apple není všespásný, jakmile je vaše zařízení deprecated a Apple přestane vydávat aktualizace, jste stejně děraví, jako ten Android :-/

[bob]

Taková aplikace klidně mohla být i v Play store. Při instalaci se ukazuje jaká oprávnění aplikace vyžaduje, ale většina lidí to nečte, já často taky ne. Pokud požaduje oprávnění posílat SMS a uživatel to povolí, tak aplikace pak může posílat SMS.

Pokud tohle někdo nedokáže pochopit, tak by měl radši skutečně používat featurephone.

Takze, kdyz si stahnu app na zalohu treba sms nebo neco co s sms souvisi, tak jak to presne poznam ? Android je proste reklamni bazmek a do ''svobody'' uz ma opravdu daleko, bez rootu, ani nemuzete kompletne zalohovat telefon vcetne nastaveni app a ani bez neho neodstranite bloatware.A ze je deravy dokazuje zebricek firem fortune 500, zadna z nich nema androidy. Sony mel a jak dopadl.Kdyz byl pod utokem tak se velice rychle vratil k Blackberry, aby mohl fungovat.


@xsouku04 Pokud, potrebujete dobry telefon s klavesnici tak doporucuji Blackberry passport nebo classic s app bria.

[xtonda]

Tak to vypadá, že Google plánuje zavést nějakou formu ruční kontrolu aplikací.
http://www.root.cz/zpravicky/google-ruc ... o-android/

[osmdesát]

Problém je ale hlavně v tom, že si není moc z čeho vybírat - jsou tu vlastně jen dvě použitelné platformy - Android a iOS.

Kamarád si velmi pochvaluje BlackBerry a jeho operační systém. Poté, co Nokia zrušila Symbian, musel chtě nechtě udělat změnu a Android právě z důvodu jeho děravosti a jiných nectností také odmítal. Navíc říkal, že BlackBerry umožňuje solidně spouštět v pískovišti i androidovské aplikace!

Sám používám na GSM volání jen hloupý telefon, ale bojím se, že v budoucnu se už nechytré telefony nebudou vyrábět, navíc všechno bude dotykové, a protože dříve nebo později dojde k vypnutí 1G, nebudou se dát používat ani ty staré telefony.

[xtonda]

1G (analogové NMT) už je dávno vypnuto.

[osmdesát]

1G (analogové NMT) už je dávno vypnuto.

Nojo, to je pravda, tak tedy 2G