No właśnie - generalnie bardzo mnie ciekawi sprawa bezpieczeństwa korzystania z aplikacji na Androidzie, czy nawet Windowsie.
Jako przykład podam czytnik RSS"ów wykorzystujący Czytnik Google. Właściwie w każdym należy podać login i hasło do swojego konta Gmail'owsiego. Co prawda loginy i hasła prywatnych użytkowników nie specjalnie są na celowniku, nie mniej jednak niepewność pozostaje.
A ostatnio nawet znalazłem opcję zapisywania wyników na googlowskim koncie w Phitdroid'zie. I sorka, opcja choć fajna nie zalogowałem się. Aż strach mi pomyśleć, ile bym utracił w przypadku straty konta - kontakty - wszelkie adresy, telefony, kalendarz, maile...
Android jest bardzo solidnie zaprojektowany pod względem bezpieczeństwa. Aplikacje są napisane w Javie i każda siedzi w osobnym maszynie wirtualnej (dalvik), czyli ma osobną piaskownicę (sandbox).
Możliwość włamania się do jądra systemu lub niekontrolowanego przeczytania danych innej aplikacji jest znikoma, wymagała by poważnego błędu w wirtualnej maszynie. To raczej niemożliwe bo VM jest raczej małym kawałkiem kodu bardzo dokładnie przeanalizowanym i przetestowanym pod tym kątem.
Możliwość włamania poniżej poziomu aplikacji jest również niewielka bo system razem ze wszystkimi sterownikami jest spójny, napisany przez jedną firmę (Google) dla konkretnego sprzętu. Włamanie przez dziurę w sterowniku jest praktycznie niemożliwe bo wszystkie sterowniki pisze Google i samodzielnie instaluje na sprzęcie - nie ściąga się ich z sieci z niewiadomoego źródła jak ma to miejsce pod Windows. Oczywiście nie dotyczy to osób, które rootują telefon - ale to margines i Oni wiedzą co robią, godzą się na podwyższone ryzyko.
Aplikacje mają dostęp do danych według manifestu, który akceptuje się przy instalacji. Jeżeli zgodzimy się, aby aplikacja miała dostęp do sieci albo naszych kontaktów to będzie miała ale my o tym będziemy poinformowani. I to jest według mnie największe zagrożenie. Ludzie akceptują automatycznie, bez zastanowienia te manifesty przy instalacji. Ufają Marketowi - skoro jest w Markecie, znaczy Google daje gwarancję że aplikacja ok! Polityka G wobec nowych aplikacji jest taka: akceptują bez pytania a później analizują i co najwyżej usuwają. Apple robi odwrotnie, najpierw analizuje a później wystawia do AppStore. Nie wiem jak to wygląda prawnie, czy Google bierze jakąkolwiek odpowiedzialność za szkodliwe aplikacje w Markecie - nie doczytałem (jak zwykle) licencji 🙂
Anyway jeżeli ktoś wpisuje hasło do konta bo dostał tak e-mail z prośbą to znaczy, że jest głąb i niedostosowany do współczesności i nie powinien używać komputerów bo sobie zrobi krzywdę...
PS. Przeglądarka WWW od Googla (chrome) ma podobny model bezpieczeństwa - każda strona jest w osobnym procesie, oddzielona od wszystkich innych. Możliwość przecieku informacji z jednej do innej otwartej jest więc minimalna, stabilność całości również wzrasta (jak się zawiesi to tylko jedna zakładka), można wykorzystać też wszystk 8 rdzeni swojego laptopa ;-)