Kto číta vaše SMSky?

XPrivace-catching-FB-Messenger-SMS_RECEIVED-notificationV dnešnom príspevku o chytrých telefónoch sa pozrieme na pomerne citlivú vec – vaše SMS správy. V predchádzajúcom príspevku som vám ukázal, ako možno jednoducho získať prístup k vašim SMS správam.

Podľa mňa nie je úplne v poriadku, ak sa príliš spoliehame na bezpečnosť a spoľahlivosť prenosu informácie cez SMS. To platilo možno kedysi, keď mobilné telefóny boli viac-menej uzavreté jednoúčelové prístroje, cez ktoré ste mohli niekomu zatelefonovať, prípadne poslať krátku správu. To sa ale zmenilo, keď sa z mobilu stal v podstate plnododnotný počítač s komplikovaným operačným systémom.

V operačnom systéme Android napríklad existuje rozhranie, ktoré umožňuje ktorejkoľvek aplikácii požiadať o notifikáciu v prípade nejakej udalosti. Napríklad to môže byť prijatie SMS správy. Aplikácia, ktorú si nainštalujete do telefónu, samozrejme potrebuje schválené prístupové práva k takejto akcii. Problém ale je to, že prístupové práva sa povoľujú pred samotnou inštaláciou. Takže aj keď si chcete nejakú aplikáciu iba vyskúšať, musíte práva potvrdiť. Ináč ju nenainštalujete.

Pokiaľ nie ste dostatočne zbehlí, ani jednoducho nezistíte, ktoré aplikácie majú k čomu prístup. Teda áno, postupne si nájdete v markete všetky aplikácie, ktoré máte nainštalované a tam si to rozkliknete. Prípadne priamo v telefóne budete klikať na vlastnosti jednej aplikácie za druhou. Úžasne pohodlné a rýchle. :-)

Prístupové práva aplikácie Facebook Messenger

Prístupové práva aplikácie Facebook Messenger

Ak ste však dostatočne zbehlí a trápia vás podobné problémy ako mňa, dá sa to vyriešiť. Prednedávnom som totiž objavil perfektný framework Xposed Installer, vďaka ktorému existuje ešte lepšie rozšírenie XPrivacy. Nebudem popisovať technické detaily ako funguje. V skratke iba uvediem, že umožňuje nastaviť prístupy k jednotlivým údajom pre každú aplikáciu zvlášť.

V praxi to teda vyzerá tak, že napríklad aplikácii Facebook Messenger zakážete prístup k SMS správam. To napríklad znamená, že sa Facebook Messenger nedozvie to, kedy ste dostali SMSku a od koho, čo bolo jej obsahom a pod.
Tu je dôkaz, že FB Messenger tieto prístupy má a aktívne ich využíva. Notifikácia sa na mojom telefóne objavila súčasne s pípnutím telefónu, že prišla nová SMS správa.

Notifikácia o novej SMS správe je v tejto chvíli pozdržaná a čaká na moje potvrdenie, či túto informáciu dostane aplikácia Facebook Messenger.

Notifikácia o novej SMS správe je v tejto chvíli pozdržaná a čaká na moje potvrdenie, či túto informáciu dostane aplikácia Facebook Messenger.

V prípade, že by som mal v telefóne podvodnú aplikáciu, ktorá by na základe tejto notifikácie SMSku rovno poslala po sieti útočníkovi, mal by on prístup k SMSke skôr, ako si ju ja stihnem prečítať.

P.S.: ten kód z banky je už dúfam dávno neplatný 😛