Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.
John A

John A

Medlem
  • Namn John Andreasson
  • Registrerad 2013-05-19
  • Senast aktiv 2014-10-16
  • Antal inlägg 296

Foruminlägg

De senaste inläggen John A har skrivit i forumet.

Ursprungligen av steros01:

39 spänn för en recension!?

Ja. Hans recensioner håller väldigt hög klass. De är definivt värda att betala för.
Men det går ju även att läsa den gratis på nätet om man hellre vill det.

Ursprungligen av mendezzz:

Videoklipp som Truesec lagt upp.

https://www.youtube.com/watch?v=fCQg2I_pFDk

Det där innehåller ingen detaljerad information så det säger inte så mycket egentligen. Därmed inte sagt att det faktiskt kan finnas en lokal exploit som man kan utnyttja.

Får hoppas att de i alla fall har följt sedvanlig responsible disclosure så att vi kan vänta oss en patch innan de publicerar vad det faktiskt handlar om.

Ursprungligen av Erik.dv:

Det där är en snart 3 år gamla artikel eller läser jag fel?

Jag har inte sett något som tyder på att app review sedan dess har börjat köra packet inspection av nätverkstrafiken för att upptäcka den typen spionerande, framför allt inte om den går via TLS. Apple har ingen möjliget att upptäcka sånt genom att testköra appen. De kan se om den startar, att den utseendemässigt ser ok ut, att den går att använda; men de har ingen som helst möjlighet att utan källkoden kontrollera exakt vad appen gör.

Vad som däremot hjälper är om iOS varnar användaren att appen vill komma åt dina kontakter. Då kan man göra ett val, ska man illåta att appen får tillgång till informationen eller inte. Litar jag på att den här appen hanterar informationen väl.

Ursprungligen av engineer:

Perfekt!

Då är det bara att knåpa ihop din app och bestämma hur du ska blåsa alla iPhone-användare på pengar och skicka in till App Store. Dårfinkarna som kollar apparna kommer ju inte ha någon koll ändå. Eller?

Du menar något i stil med Paths app som laddade upp iOS-användares adressbok till sina servrar. Bra att ha eller något. Jag tycker att detta i högsta grad klassas som en typ av malware. Men den gick glatt igenom Apples kontroll.

Ursprungligen av Vassius:

Det där är trivialt att upptäcka, det är ju bara att ställa fram klockan på enheten till ett framtida datum.

Som jag sa är det ett exempel. Man skulle t. ex. lika gärna kunna styra det med en server.

Så länge Apple inte detaljgranskar källkoden samt bygger den app som går ut till användare så tjänar Apples rigorösa kontroll inte till något annat än att styra vilka appar som iOS-användare ska få använda. Det ger noll skydd mot malware.

Vad som däremot skyddar mot malware är sandboxing och annan teknik som begränsar appens möjligheter att göra skada.

Ursprungligen av emilakered:

Chrome är standardbrowser i Android från och med Jelly Bean (?), alltså sedan sent 2012. Vissa tillverkare skickar trots det med gamla varianten "Internet", oklart varför. Antagligen har de mer rättigheter att förändra UI och lägga till funktioner för att passa deras "förbättrade" gränssnitt. Nexus-enheterna har bara Chrome, även om till exempel Firefox eller Opera så klart kan installeras av användaren.

Chrome är proprietär så den är definitivt inte standard i AOSP. Utvecklingen av standardbrowsern i AOSP är dock mer eller mindre nerlagd så jag kan tänka mig att Google gärna vill att tillverkarna skickar med Chrome istället.

Får man fråga varför du vill stänga av SSL? SSL ska normalt användas då det skyddar datatrafiken mot avlyssning och man in the middle-attacker. Det kan vara att du försöker lösa ett annat problem som det finns en bättre lösning på.

Ett alternativ som kan vara intressant är Firefox för Android. Till skillnad från iOS tillåts webbläsare vara mer än bara ett skal ovanpå WebKit, så Firefox kan använda samma motor som används i desktopversionen. Det är särskilt användbart om man redan använder Firefox och vill använda dess synkroniseringsfunktion även mobilt.

Ursprungligen av engineer:

Det är omöjligt för oss att exakt veta hur det går till. Såvida du inte jobbar med detta på Apple.

Men du kan ju läsa Apples Guidelines, de har varit rätt hårda genom åren.

https://developer.apple.com/app-store/review/...

Här är ett exempel på hur enkelt det är att skriva en app som gör en sak när Apple testar det, och något annat när det kommer ut till användare. Ta ett datum någon gång i framtiden, efter att Apple har kontrollerat och godkänt appen. När väl dagens datum har passerat den punkten tar den en annan code path. Svårare än så är det inte; och det är bara en attackvektor, det finns många andra sätt att göra precis samma sak.

NSDate *now = [NSDate date];

NSDateComponents *comps = [[NSDateComponents alloc] init];
[comps setYear: someYear];
[comps setMonth: someMonth];
[comps setDay: someDay];

NSDate *future = [[NSCalendar currentCalendar] dateFromComponents: comps];

if ([now compare: future] == NSOrderedDescending) {
    [self doSomethingEvil];
} else {
    [self doSomethingGood];
}

Vi kan säga så här, om Apple har en metod för att med god precision avgöra om en app gör något medvetet illvilligt så har någon på Apple ett turingpris att hämta.

Ursprungligen av engineer:

2. Apple gör mer för att undersöka innehållet i en app och jobbar aktivt med att ta bort appar som bryter mot avtalet. Det inkluderar spionerande samt att varna dig om någon app vill kunna göra mer.
I Andriod får man reda på alla saker en app vill kunna göra vid installation och man måste godkänna allt eller inget. I iOS kan du vara selektiv i efterhand och endast ge tillgång till det som är ok för dig.
Bättre system tycker jag.

Hur undersöker Apple innehållet i en app? De har inte tillgång till källkoden. De kan inte kolla vad den gör. Det är en teknisk omöjlighet för Apple att på ett par minuter kolla om en app gör något medvetet illvilligt.

Det enda som faktiskt kan skydda användare är sandboxing. Att appen inte får tillgång till information utan användarens vetskap. Men det är inte praktiskt att begränsa all funktionalitet, det blir till slut ohanterligt att använda och kan medföra starka begränsningar över vilka appar som ens kan byggas.

Ursprungligen av Redaktionen:

Jag vet inte hur noga appar från Google Play kontrolleras, och har ingen koll på appens utvecklare. Jag vågar helt enkelt inte fortsätta, och bestämmer mig för att strunta i synkronisering och nöja mig med att göra en regelrätt migration.

Google kontrollerar inte appar som distribueras genom Play. Anledningen är väldigt enkel, det går inte göra kontrollera om en app är god eller ond. Det är trivialt att bygga en app som beter sig på ett sätt när den godkänns och sedan helt ändrar beteende när den väl kommer ut till användare. Det enda sättet som man kan göra en kontroll som ens är i närheten av att fånga malware är att ta emot den i form av källkod, göra en fullständig audit och att man sedan bygger binären som går ut till användare. Det finns flera anledningar till varför detta aldrig kommer att hända; den vecka som det brukar ta att få ut uppdateringar på App Store idag är ingenting i jämförelse med hur lång tid det skulle ta.

Så Google är egentligen bara ärlig. Du kan inte lita på en app, oavsett om det är från Play eller App Store. Den kan spionera på dig, utnyttja lokala exploits och annat hur mycket den vill. Varken Apple eller Google kan stoppa detta genom någon form av kontrollprocess. Använd bara program som du litar på, allt annat är bara spel för gallerierna.

Det enda som Apple kan åstadkomma genom att granska varje enskild uppladdning till App Store är att filtrera bort appar som kraschar direkt, har andra uppenbara buggar eller är politiskt icke önskvärda.

Ursprungligen av Json_81:

Vad har att de inte har monopol saken att göra?

Slutar din vendor att leverera uppdateringar så kan du installera från någon annan, eller rentav byta OS helt. Jag har gamla Macar som modernt OS X inte supportar, de kör numera andra OS. Jag tycker det är praktiskt att även kunna göra det med min telefon, om jag vill.

Android är intressant då det är open source. Alla som vill kan bygga sin egen smak av det. CyanogenMod är ett spännande exempel som började med att en person ville göra en del förbättringar, sedan har det vuxit upp en hel community runt det. Hårdvarutillverkare som Samsung m.fl. passar naturligtvis också på att göra anpassningar, ibland för att göra saker bättre men också för differentiering. Det är inget fel på det, allt måste inte se ut och fungera på exakt samma sätt. Gör någon något riktigt bra så följer de andra ofta med, gör någon något dumt så försvinner det.

Ursprungligen av Json_81:

Finns inte en androidtillverkare som ger uppdateringar så länge som Apple.

Skillnaden är att många av Android-tillverkarna inte har monopol på att leverera OS till sina telefoner. Användaren kan hör och häpna installera ett annat OS om de vill. Android, Ubuntu Touch, Sailfish OS; det finns flera alternativ att välja på.

Ursprungligen av Jesper Ohlsson:

Motivera gärna varför man borde ha gjort det.

Jag tycker att Tim Cook gör ett bättre jobb och att han borde ha fått börja tidigare.