Onderzoekers maken privacy-tool voor alle Android-apps

Onderzoekers aan de North Carolina State University hebben software ontwikkeld die regelt tot welke persoonlijke informatie Android-applicaties toegang hebben. Momenteel wordt gekeken hoe de tool naar gebruikers kan worden verspreid.

Het stukje software is TISSA gedoopt, wat staat voor Taming Information-Stealing Smartphone Applications. TISSA kent vier verschillende niveaus van dataverstrekking: Trusted, Bogus, Anonymized en Empty. Per geïnstalleerde applicatie kan ingesteld worden welk type informatie deze moet ontvangen.

Bij het Trusted-niveau wordt de informatie waar de applicatie om vraagt ongefilterd doorgegeven; bij Bogus ontvangt de applicatie nep-gegevens, en bij Anonymous krijgt de applicatie alleen toegang tot de informatie die ze nodig heeft om te werken, waarbij geen persoonlijke gegevens zichtbaar zijn. Als Empty geselecteerd wordt, krijgt de applicatie te horen dat de informatie niet bestaat of niet toegankelijk is.

De ontwikkelaars zeggen dat de tool in de toekomst uitgebreid kan worden met fijnmazigere instellingen. Momenteel kunnen gegevens omtrent locatie, identiteit, contacten en belhistorie beheerd worden. TISSA vereist wel enige aanpassingen aan het Android-OS en kan dus niet als reguliere app verspreid worden. De onderzoekers zijn daarom momenteel aan het kijken op welke manier ze de techniek makkelijk naar eindgebruikers kunnen brengen.

Reacties (51)

Sn0zz 14 april 2011 11:15

Wat ik me dan weer afvraag: In hoeverre kun je bepalen of en hoe de TISSA app zelf informatie doorstuurt... Of ben ik nu erg paranoide aan het worden?

BèR @Sn0zz • 14 april 2011 11:34

Tja, zo lang TISSA niet ontwikkeld wordt door mensen die direct of indirect commerciële of gourvernementele belangen hebben, zie ik liever TISSA mijn gegevens hebben dan een groot mediaconcern of een overheid.

Benne @BèR • 14 april 2011 11:55

zoals google waar je je telefoon koopt.

FlowDesign 14 april 2011 13:57

Wat meer achtergrond informatie over het design en de uitwerking vind je hierrrrr

http://www.csc.ncsu.edu/faculty/jiang/pubs/TRUST11.pdf

MittaM 14 april 2011 10:47

Erg goed initiatief, hopelijk duikt dit snel op al onderdeel van Android. Denk dat de beste oplossing gewoon samen werken met Google is of kijken naar de custom roms scene.

Verwijderd @MittaM • 14 april 2011 16:10

De ontwikkeling van Android wordt voornamelijk gefinancierd door Google. Google verdient deze kosten terug door informatie te winnen. Zo ook een aantal app-bouwers; hoef je niets of minder te betalen voor je app in ruil voor informatie.

Met andere woorden als je valse informatie of geen informatie 'levert' dan pleeg je een soort van diefstal. Dan gaat het mij niet zozeer om de strafbaarheid maar zullen bedrijven, als ze geen centjes meer verdienen, kiezen voor een ander businessmodel (betalen per app) of een ander OS. Want er moeten hoe dan ook centjes op tafel.

In ieder geval vind ik een dergelijke ontwikkeling weliswaar begrijpelijk maar ook een beetje naief. En vind ik degenen die het hier hebben over 'malware' en stelen van gegevens ronduit bezopen; je kiest toch zelf voor een Google/ Android toestel? Je kiest toch zelf voor gratis apps? Nou dan moet je ook niet zeuren als je wat terug moet doen voor al die gratis spulletjes.

Mellow Jack

Mobiele besturingssystemen
Google Android

@MittaM • 14 april 2011 11:27

Waarschijnlijk hebben ze al gespiekt bij custom roms want ik heb ook bepaalde mogelijkheden (alhoewel dit erg uitgebreid lijkt te zijn) maar al met al natuurlijk super dat ze dit doen

Joseph @MittaM • 14 april 2011 11:39

Ik denk dat Google niet blij zal zijn met deze ontwikkeling.

Zij leven van jou gegevens, want daar draait hun complete advertentiemachine op, die Google "Gratis" houdt.

RielN @Joseph • 14 april 2011 14:25

Onzin, google haalt die gegevens niet 'stiekem' weg.

serhat @MittaM • 14 april 2011 11:51

Dit is zeker handig. Er is al wel een app die detecteert of een app mogelijk rare dingen doet met je data. App heet Privacy Inspector.

https://market.android.co...eudoxus.privacy.inspector

paulus83 @serhat • 14 april 2011 18:27

die kende ik nog niet, gelijk even geïnstalleerd. Ik moet zeggen dat ik vermoed dat dit meer scareware is eigenlijk, de beschrijving klinkt erg vaag : hij scant door de code van andere apps en zoekt naar lekken? En de pro versie beweert zelfs dat hij je apps kan patchen zodat je ze "veilig" kan gebruiken.
Het is niet onmogelijk, maar het lijkt toch een beetje te mooi on waar te zijn.

Guusjee 14 april 2011 10:46

Goeie tool!

Nu heb ik vaak als ik apps installeer en zie wat voor informatie ze allemaal nodig hebben toch wel het idee van: "moet ik dit wel installeren" of "hebben ze al deze informatie wel nodig". En met deze tool ben je hier toch zelf meer de baas over!

3raser @Guusjee • 14 april 2011 11:12

Ik begrijp de Anonymous functie niet. Hoe bepaald de applicatie of de gegevens nodig zijn of niet? En hoe kun je GPS locatie anonimiseren? Dat komt dan toch op hetzelfde neer als niet doorgeven?
Vragen, vragen, vragen...

Verder natuurlijk een geweldige applicatie. Iets wat Google zelf waarschijnlijk nooit zal inbouwen omdat zij geïnteresseerd zijn in echte gegevens.

Sjaaksken @3raser • 14 april 2011 12:37

En hoe kun je GPS locatie anonimiseren? Dat komt dan toch op hetzelfde neer als niet doorgeven?

Je moet natuurlijk wel even nadenken over wat je wel en niet doorgeeft, als je aan google navigatie je lokatie niet doorgeeft dan ga je ook niet kunnen navigeren. Maar stel dat je een applicatie installeert als 'daily jokes' of 'starwars lasersword', dan heeft deze applicatie eigenlijk geen toegang nodig tot uw gps locatie en andere persoonlijke zaken.

Op deze manier kan je de applicaties nog wel installeren, zonder dat je je zorgen hoeft te maken dat er data meegestuurd wordt die je eigenlijk helemaal niet wil uitsturen om de applicatie op zich te gebruiken.

Mellow Jack

Mobiele besturingssystemen
Google Android

@3raser • 14 april 2011 11:26

Verzonnen gegevens doorgeven

Mijn telefoon geeft al maanden verkeerde lokalisatie gegevens door aan de apps (behalve Google maps

)

Verwijderd @Mellow Jack • 14 april 2011 11:44

Dat zou dus Bogus modes zijn...

AirX

@Mellow Jack • 14 april 2011 18:57

Hoe heb je dit ingesteld?

musje83 @Guusjee • 14 april 2011 11:49

Ik vind het een super initiatief, ik hoop alleen wel dat ze het op zo'n manier aan kunnen bieden dat het relatief eenvoudig te installeren is, telefoon met USB aan een pc hangen en dan een installer draaien oid.

larszzie @Guusjee • 14 april 2011 17:32

Waar is deze app te downloaden. Ik kan hem nergens vinden. Oook geen APK`s

gepebril @Guusjee • 14 april 2011 21:20

Erg makkelijke tool, zo worden gebruikers nog kwetsbaarder, ipv de beveiliging door verschillende partijen te doen is het slechts één systeem, hack je die dan heb je alles, of begrijp ik het verkeerd?

Verwijderd 14 april 2011 10:48

Geweldig! Eindelijk

Ik ben al een tijdje op zoek. Het is belachelijk dat veel applicaties om je telefoonidentiteit en contactlijst vragen. En natuurlijk kun je zelf kiezen of je een applicatie wel of niet installeert, maar meer controle over je eigen gegevens en harware is niet meer dan terecht imo.

hattorihanzo @Verwijderd • 14 april 2011 11:59

Of wat dacht je van je gmail account+password? Hoe wordt daar eigenlijk mee omgegaan als ik het invoer? Bijvoorbeeld voor Pulse om Google Reader feeds te importeren?

Brantje @hattorihanzo • 15 april 2011 17:53

Voordat kan je ook gewoon de google 2 step verification gebruiken.
Misdraagt de app zich? Revoke je gewoon het password

Verwijderd 14 april 2011 10:51

Een vergelijkbaar tooltje dat al een tijdje in ontwikkeling is is taintdroid.
Helaas grijpt dat op zo'n diep nivo in dat je dit in je rom moet meebakken. Ik ben benieuwd hoe dit appje dat aanpakt.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 17:21]

84hannes @Verwijderd • 14 april 2011 11:35

Ik ben benieuwd hoe dit appje dat aanpakt.

Dat zijn de makers zelf ook. In het artike had je kunnen lezen

De onderzoekers zijn daarom momenteel aan het kijken op welke manier ze de techniek makkelijk naar eindgebruikers kunnen brengen.

KrijgDeMeuk 14 april 2011 11:44

Cyanogen, een bekende ROM bakker, heeft hier eerder al de eerste aanzet toe gezet. http://www.androidpolice....orce-closing-as-a-result/

Zoals het artikel al zegt, veel applicaties zullen wellicht gaan crashen vanwege de ontbrekende permissies.

[Reactie gewijzigd door KrijgDeMeuk op 26 juli 2024 17:21]

n00bs @KrijgDeMeuk • 14 april 2011 11:56

Dat probleem heb je dus nu niet, omdat je ook de optie hebt om bogus info door te geven.

Daarnaast zou je op verder onderzoek kunnen gaan als zo een app crasht en bepalen of je dan wel meer info aan deze app wil geven of gewoon vervangen door iets anders.

Haay

14 april 2011 10:53

Super! Power back to the people!

Heb zoals anderen hierboven ook al aangaven vaak getwijfeld over waar sommige apps allemaal toegang toe willen hebben. Heb ook al diverse keren een app toch maar niet geïnstalleerd, omdat ik de hoeveelheid rechten waar die app om vroeg gewoon belachelijk vond.

Zo te zien kan deze TISSA app vooralsnog alleen geïnstalleerd worden op een geroot toestel. Hopelijk vinden ze een manier om dit te kunnen installeren zonder root-rechten nodig te hebben.

vgroenewold

Mobiele besturingssystemen

@Haay • 14 april 2011 10:57

Mja, alleen heb je toch ook power to the developer nodig. Dat is een lastige balans. Apple beperkt developers behoorlijk, waar je dan ook voor kiest, bij Android zou het dan zo zijn dat je vanalles kan en mag (wat de aantrekkingskracht is) maar dat het nu stukje bij beetje ook wordt beperkt. Logisch, want zo open als het nu is klinkt leuk maar werkt niet helemaal top (kijkend naar de developer-kant).

watercoolertje

Google
Google Android
Mobiele besturingssystemen

@vgroenewold • 14 april 2011 11:19

Voor de developer veranderd er niks, echter ontneem je rechten als gebruiker van een app, dan is de kans dat die app niet meer goed werkt/doet wat het moet doen.

Vrij logisch, download je een sms-timer (zo kan ik bijv smsjes voor nieuwjaar inplannen zodat ik niet op 12 uur zit te pielen). Moet die wel rechten hebben om een sms te zenden en me contacten kunnen inzien.

In dat geval doe ik zelf wat fout en zit ik zelf met de gebakken peren, klinkt mij bijna perfect in de oren. Gewoon eigen verantwoordelijkheid ten top!

Mellow Jack

Mobiele besturingssystemen
Google Android

@vgroenewold • 14 april 2011 11:37

bij Android zou het dan zo zijn dat je vanalles kan en mag (wat de aantrekkingskracht is) maar dat het nu stukje bij beetje ook wordt beperkt.

Sorry hoor, ten eerste is dr niks aan Android veranderd op het gebied van openheid

Ook is de vrijheid van de ontwikkelaars niet veranderd... Eigenlijk is dr helemaal niks veranderd.

Het is alleen even wachten op de source van honeycomb maar die komt (imo) 100% en dan moeten de doom denken weer even iets anders verzinnen

Sthomkop 14 april 2011 10:59

Super dat er zo'n app in de maak is - hoewel het misschien niet echt een app is, maar eerder een upgrade van het Android OS. Ik heb me al sinds de aanschaf van mijn telefoon afgevraagd waarom je niet per app kunt zeggen: nou, ik vind het niet zo leuk dat je toegang hebt tot mijn contacten, dat zet ik uit.
Persoonlijk ben ik dan sneller geneigd apps uit te proberen

Indoubt 14 april 2011 11:14

Geweldig!.

Naar mijn mening is, ondanks dat ik de tool niet ken en zelfs nog geen android telefoon heb, een zeer goede ontwikkeling.

Ik was al aan het uitzoeken hoe ik een eventuele, nog te kopen, android telefoon zoveel mogelijk kan beperken in het misbruiken van MIJN gegevens.

Nu lijkt er een tool voor te komen. Ik juich dit van harte toe

Op dit item kan niet meer gereageerd worden.

Onderzoekers maken privacy-tool voor alle Android-apps

Lees meer

Reacties (51)

Sorteer op:

Weergave: