John A

Ja. Hans recensioner håller väldigt hög klass. De är definivt värda att betala för.
Men det går ju även att läsa den gratis på nätet om man hellre vill det.

Det där innehåller ingen detaljerad information så det säger inte så mycket egentligen. Därmed inte sagt att det faktiskt kan finnas en lokal exploit som man kan utnyttja.

Får hoppas att de i alla fall har följt sedvanlig responsible disclosure så att vi kan vänta oss en patch innan de publicerar vad det faktiskt handlar om.

Jag har inte sett något som tyder på att app review sedan dess har börjat köra packet inspection av nätverkstrafiken för att upptäcka den typen spionerande, framför allt inte om den går via TLS. Apple har ingen möjliget att upptäcka sånt genom att testköra appen. De kan se om den startar, att den utseendemässigt ser ok ut, att den går att använda; men de har ingen som helst möjlighet att utan källkoden kontrollera exakt vad appen gör.

Vad som däremot hjälper är om iOS varnar användaren att appen vill komma åt dina kontakter. Då kan man göra ett val, ska man illåta att appen får tillgång till informationen eller inte. Litar jag på att den här appen hanterar informationen väl.

Du menar något i stil med Paths app som laddade upp iOS-användares adressbok till sina servrar. Bra att ha eller något. Jag tycker att detta i högsta grad klassas som en typ av malware. Men den gick glatt igenom Apples kontroll.

Som jag sa är det ett exempel. Man skulle t. ex. lika gärna kunna styra det med en server.

Så länge Apple inte detaljgranskar källkoden samt bygger den app som går ut till användare så tjänar Apples rigorösa kontroll inte till något annat än att styra vilka appar som iOS-användare ska få använda. Det ger noll skydd mot malware.

Vad som däremot skyddar mot malware är sandboxing och annan teknik som begränsar appens möjligheter att göra skada.

Chrome är proprietär så den är definitivt inte standard i AOSP. Utvecklingen av standardbrowsern i AOSP är dock mer eller mindre nerlagd så jag kan tänka mig att Google gärna vill att tillverkarna skickar med Chrome istället.

Får man fråga varför du vill stänga av SSL? SSL ska normalt användas då det skyddar datatrafiken mot avlyssning och man in the middle-attacker. Det kan vara att du försöker lösa ett annat problem som det finns en bättre lösning på.

Ett alternativ som kan vara intressant är Firefox för Android. Till skillnad från iOS tillåts webbläsare vara mer än bara ett skal ovanpå WebKit, så Firefox kan använda samma motor som används i desktopversionen. Det är särskilt användbart om man redan använder Firefox och vill använda dess synkroniseringsfunktion även mobilt.

Här är ett exempel på hur enkelt det är att skriva en app som gör en sak när Apple testar det, och något annat när det kommer ut till användare. Ta ett datum någon gång i framtiden, efter att Apple har kontrollerat och godkänt appen. När väl dagens datum har passerat den punkten tar den en annan code path. Svårare än så är det inte; och det är bara en attackvektor, det finns många andra sätt att göra precis samma sak.

NSDate *now = [NSDate date];

NSDateComponents *comps = [[NSDateComponents alloc] init];
[comps setYear: someYear];
[comps setMonth: someMonth];
[comps setDay: someDay];

NSDate *future = [[NSCalendar currentCalendar] dateFromComponents: comps];

if ([now compare: future] == NSOrderedDescending) {
    [self doSomethingEvil];
} else {
    [self doSomethingGood];
}

Vi kan säga så här, om Apple har en metod för att med god precision avgöra om en app gör något medvetet illvilligt så har någon på Apple ett turingpris att hämta.

Hur undersöker Apple innehållet i en app? De har inte tillgång till källkoden. De kan inte kolla vad den gör. Det är en teknisk omöjlighet för Apple att på ett par minuter kolla om en app gör något medvetet illvilligt.

Det enda som faktiskt kan skydda användare är sandboxing. Att appen inte får tillgång till information utan användarens vetskap. Men det är inte praktiskt att begränsa all funktionalitet, det blir till slut ohanterligt att använda och kan medföra starka begränsningar över vilka appar som ens kan byggas.

Google kontrollerar inte appar som distribueras genom Play. Anledningen är väldigt enkel, det går inte göra kontrollera om en app är god eller ond. Det är trivialt att bygga en app som beter sig på ett sätt när den godkänns och sedan helt ändrar beteende när den väl kommer ut till användare. Det enda sättet som man kan göra en kontroll som ens är i närheten av att fånga malware är att ta emot den i form av källkod, göra en fullständig audit och att man sedan bygger binären som går ut till användare. Det finns flera anledningar till varför detta aldrig kommer att hända; den vecka som det brukar ta att få ut uppdateringar på App Store idag är ingenting i jämförelse med hur lång tid det skulle ta.

Så Google är egentligen bara ärlig. Du kan inte lita på en app, oavsett om det är från Play eller App Store. Den kan spionera på dig, utnyttja lokala exploits och annat hur mycket den vill. Varken Apple eller Google kan stoppa detta genom någon form av kontrollprocess. Använd bara program som du litar på, allt annat är bara spel för gallerierna.

Det enda som Apple kan åstadkomma genom att granska varje enskild uppladdning till App Store är att filtrera bort appar som kraschar direkt, har andra uppenbara buggar eller är politiskt icke önskvärda.

Slutar din vendor att leverera uppdateringar så kan du installera från någon annan, eller rentav byta OS helt. Jag har gamla Macar som modernt OS X inte supportar, de kör numera andra OS. Jag tycker det är praktiskt att även kunna göra det med min telefon, om jag vill.

Android är intressant då det är open source. Alla som vill kan bygga sin egen smak av det. CyanogenMod är ett spännande exempel som började med att en person ville göra en del förbättringar, sedan har det vuxit upp en hel community runt det. Hårdvarutillverkare som Samsung m.fl. passar naturligtvis också på att göra anpassningar, ibland för att göra saker bättre men också för differentiering. Det är inget fel på det, allt måste inte se ut och fungera på exakt samma sätt. Gör någon något riktigt bra så följer de andra ofta med, gör någon något dumt så försvinner det.

Skillnaden är att många av Android-tillverkarna inte har monopol på att leverera OS till sina telefoner. Användaren kan hör och häpna installera ett annat OS om de vill. Android, Ubuntu Touch, Sailfish OS; det finns flera alternativ att välja på.

Jag tycker att Tim Cook gör ett bättre jobb och att han borde ha fått börja tidigare.