Il client TOR Orbot Android è stato compromesso (autorizzazioni per ID dispositivo e informazioni sul chiamante)?

Naviga le tue risposte
4

Durante l'aggiornamento delle app di oggi, l'aggiornamento di ORBOT richiede autorizzazioni aggiuntive: a) foto / media / file e b) ID dispositivo e informazioni sul chiamante .

(Android 5.0.1, attuale ORBOT (pre-aggiornamento) 15.2.0-RC-8-multi)

Perché un'app, con lo scopo principale di fornire l'anonimato , richiede attivamente l'autorizzazione per accedere all'ID dispositivo e alle informazioni sul chiamante ?

Finora non l'ho permesso e mi chiedo cosa sia più pericoloso, usando una versione obsoleta o concedendo autorizzazioni paradossali ...?

Domande concrete:

  1. altri hanno la stessa richiesta (altrimenti sarebbe un suggerimento che il mio dispositivo sia compromesso)?
  2. Qualcuno ha la possibilità di analizzare l'accesso ai file e il traffico di rete (se la crittografia consente - potrebbe non saperlo mai?) e verificare se e come ORBOT utilizza queste autorizzazioni: (a) dove invia le informazioni ID, (b) quali file vuole leggere / scrivere che non sono stati necessari per molto tempo?
  3. Qualcuno ha una spiegazione del perché ORBOT avrebbe legittimamente bisogno di queste autorizzazioni? O ci sono informazioni se l'app ORBOT è compromessa, ...? Alcune altre cause (generali, non specifiche TOR) sono elencate nella risposta di Falco qui , ma non posso credere che i programmatori di ORBOT (grazie!) li accettino (per errore / pigro e codifica incompetente / necessario per ottenere l'accesso a funzioni legittime ...)?

Grazie per l'aiuto!

    
posta Martin 09.06.2017 - 00:05
fonte

2 risposte

3

Why would an app, with the main purpose of providing anonymity, actively request permission to access Device ID and caller information?

Citando la lista Play Store: "NUOVI AUTORIZZAZIONI OPZIONALI:" Scrivi archivio esterno "e" Leggi stato telefono "devono supportare i servizi di backup e di background di Servizi nascosti." Nessun dato personale viene letto, memorizzato o trasmesso. "

Do others experience the same request (otherwise it would be a hint that my device is compromised)?

Dovrebbero, poiché tali permessi sono nella struttura dei sorgenti .

Does somebody have the chance to analyze file access and network traffic (if encryption allows - might never find out?) and test if and how ORBOT makes use of these permissions : (a) where it sends ID information, (b) what files it wants to read/write that have not been necessary for a long time?

Se sei preoccupato per ciò che fa Orbot, controlla il codice sorgente , quindi costruisci da quel codice sorgente. Non è necessario fidarsi di ciò che viene fornito tramite qualsiasi canale di distribuzione dell'app che si sta utilizzando, né è necessario dare un senso al traffico di rete crittografato per progetto e così via.

Does somebody have an explanation why ORBOT would legitimately need these permissions?

Vedi sopra. La mia comprensione è che hanno aggiunto il supporto del servizio nascosto di Tor, e per questo avevano bisogno di quelle autorizzazioni.

Poiché targetSdkVersion è 25, idealmente dovrebbero richiedere all'utente tali autorizzazioni solo se si utilizzano le funzionalità nell'app che ne ha bisogno. Questa è l'esperienza che ottengo, installando le ultime dal Play Store su un Nexus 5X - mentre le autorizzazioni vengono visualizzate in Impostazioni, non le hanno richieste e quindi non le hanno. Questo comportamento è perfettamente normale su Android 6.0 +.

    
risposta data 09.06.2017 - 00:39
fonte
4

Grazie per avermelo chiesto. Comprendiamo che gli utenti possono essere allarmati dalle nuove richieste di autorizzazione e dovrebbero aver fatto un lavoro migliore per spiegare a cosa servono.

Da qui: link

"Orbot richiede nuove autorizzazioni che vengono utilizzate solo se abiliti le funzionalità del servizio nascosto."

Altri dettagli stanno arrivando. Questo ti ha veramente effetto se sei su versioni precedenti di Android, che non ti permettono di "negare" le autorizzazioni quando vengono richieste.

    
risposta data 09.06.2017 - 11:47
fonte

Leggi altre domande sui tag

Rischio di collegare le pendrive rilevate alle porte USB Come possono essere determinati gli autori di malware? [duplicare]