Funcţionarea este simplă: după instalare sunt prezentate ultimele ştiri ce pot fi citite în totalitate. În plus se poate face share pe Facebook la o anumită ştire.

Ca şi permisiuni cerute, acestea sunt:

Hardware controls
change your audio settings
Allows the app to modify global audio settings such as volume and routing.

take pictures and videos
Allows the app to take pictures and videos with the camera. This allows the app at any time to collect images the camera is seeing.

record audio
Allows the app to access the audio record path.

Network communication
full Internet access
Allows the app to create network sockets.

Storage
modify/delete USB storage contents modify/delete SD card contents
Allows the app to write to the USB storage. Allows the app to write to the SD card.

Network communication
view network state
Allows the app to view the state of all networks.

Permisiunile pentru audio si video sunt cerute pentru a putea raporta o ştire interesantă direct din aplicaţie.

Analizând codul, încă de la iniţializarea aplicaţiei se face o raportare către Google Analytics cu următoarele informaţii:

•  versiunea aplicaţiei
• modelul dispozitivului
• numele sistemului (ex HTC Legend Build/FRF91)
• versiunea de Android
• sistemul folosit

      localGoogleAnalyticsTracker.setCustomVar(1, „appVersion”, str1, 2);
localGoogleAnalyticsTracker.setCustomVar(2, „deviceModel”, str2, 2);
localGoogleAnalyticsTracker.setCustomVar(3, „systemName”, str3, 2);
localGoogleAnalyticsTracker.setCustomVar(4, „systemVersion”, str4, 2);
localGoogleAnalyticsTracker.setCustomVar(5, „system”, str5, 2);

Totodată se verifică şi dacă sunteţi logaţi pe Facebook

 public static boolean isFacebookSignedIn(Activity paramActivity)
{
return getApplication(paramActivity).getFacebook().isSessionValid();
}

Pentru a funcţiona cu Facebook, aplicaţia are nevoie de o semnătură specifică: Facebook requires an additional layer of security for mobile apps in the form of an application signature. You need to put your Android application signature into your Facebook app settings. ( de aici)

Nu prea cred totuşi că e chiar ok ca această semnătură să fie pusă hardcoded:

Un alt aspect ce trbeuie menţionat la partea de cod e acela că, în cazul unei întreruperi a aplicaţiei din motive necunoscute, se generează un fişier de crash report în care sunt incluse o mulţime de elemente (tipul telefonului, loguri de comunicaţie ale telefonului cu reţeaua, un dump al memoriei, etc). În general nu vă recomand să trimiteţi aceste rapoarte întrucât dezvăluie multe date personale.

Şi am ajuns la a vedea ce date sunt transmise. Aşa cum spuneam şi la început sunt transmise mai multe detalii despre telefon către Google Analytics:

GET /__utm.gif?utmwv=4.8.1ma&utmn=1204257584&utme=8(1!appVersion*2!deviceModel*3!systemName*4!systemVersion*5!system)9(1!13%20%281.0.12%29*2!sdk*3!FRF91*4!2.2*5!sdk%20FRF91%202.2)11(1!2*2!2*3!2*4!2*5!2)&utmcs=UTF-8&utmsr=320×480&utmul=en-US&utmp=%2Fstart&utmac=UA-22957839-16&utmcc=__utma%3D1.1063077146.1338827469.1338827469.1338827469.1%3B&utmht=1338827469663&utmqt=9896 HTTP/1.1
Host: www.google-analytics.com
User-Agent: GoogleAnalytics/1.4.1 (Linux; U; Android 2.2; en-us; sdk Build/FRF91)

GET /__utm.gif?utmwv=4.8.1ma&utmn=1146252714&utmcs=UTF-8&utmsr=320×480&utmul=en-US&utmp=%2Farticles%2Fheadlines&utmac=UA-22957839-16&utmcc=__utma%3D1.1063077146.1338827469.1338827469.1338827469.1%3B&utmht=1338827471086&utmqt=8696 HTTP/1.1
Host: www.google-analytics.com
User-Agent: GoogleAnalytics/1.4.1 (Linux; U; Android 2.2; en-us; sdk Build/FRF91)

Sunt luate şi stirile de pe protv, precum şi ceva reclame:

Bineînţeles că nimeni nu-i obligă să trimită toate informaţiile astea, însă acesta e preţul plătit de utilizator pentru o aplicaţie gratuită.

Cererile către Facebook sunt făcute în mod securizat, pe HTTPS, deci nu am ce reporoşa la această parte. Problema apare când analizăm ce fişiere sunt stocate.

Sunt create mai multe baze de date SQLite, localizate în /data/data/com.cme.newsreader.stirileprotv.ro/databases. Acestea sunt: webviewCache.db, webview.db, google_analytics.db

Un lucru pe care nu l-am spus în articolul anterior şi e important de reţinut e acela că aceste fişiere nu sunt accesibile decât aplicaţiei. Pentru a avea acces la ele trebuie permisiuni de root. De ce e important să analizăm şi ce anume se stochează? Simplu: în cazul în care ne pierdem telefonul, vom pierde şi datele stocate de către aplicaţiile folosite de noi, iar asta se poate traduce în locaţii GPS, conturi, username, parolă. Din moment ce telefonul nu mai e în posesia noastră, a obţine drepturi de root de către o altă persoane e doar o chestie de căutare pe Google. Tocmai din acest motiv e important ca aplicaţiile să stocheze datele într-un mod cât mai sigur.

Dar să revenim la bazele de date.  În google_analytics.db găsim aceleaşi date de care menţionam anterior, însă în webview.db – jackpot!

Sunt cookie-urile folosite pentru Facebook şi pe baza cărora aplicaţia verifică dacă suntem sau nu logaţi. Este îndeajuns să le transferăm pe PC şi deja suntem conectaţi pe contul acelei persoane, fără a mai fi necesară introducerea de user şi parolă. Mai mult, e stocată chiar şi adresa de email folosită la conectarea pe Facebook.

În webviewCache.db sunt stocate toate link-urile accesate prin Facebook pentru a face share la o anumită ştire

După cum se vede, informaţiile sunt stocate ca atare, în clar, fără a folosi vreun algoritm de criptare.

Ceea ce părea a fi o banală aplicaţie de citit ştiri s-a dovedit a fi mult mai nesigură decât credeam. Data viitoare voi analiza aplicaţia Hotnews.

Aşadar, în funcţie de câţi doritori se vor arăta, voi continua seria săptămânală cu aceste articole. Ca pentru un prim articol, am decis să încep cu o aplicaţie care nu ar trebui să aibă un impact aşa mare asupra utilizatorilor. Ce date sensibile poate trimite o aplicaţie care te ajută să comanzi un taxi? Ei bine, după ce am analizat aplicaţia, se pare că există totuşi motive de îngrijorare.

Modul de funcţionare poate fi cel mai bine exprimat prin imagini:

O aplicaţie pentru smartphone, ce comunică folosind Internetul, diferă de modul de testare a unei aplicaţii web. În primul rând, putem analiza ce fişiere sunt create în timpul înstalării şi al utilizării – cum stochează informaţiile? sunt criptate? Apoi putem testa partea de validare a informaţiilor, logica funcţionării şi, în ultimul rând, dacă schimbul de informaţii dintre aplicaţie şi server se realizează în mod securizat.

Aşadar, despre fişierele create. În timpul utilizării am salvat locaţia unde am biroul virtual şi apoi am plasat o comandă. Câteva fişiere au fost create pe parcursul acestui proces:

/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_3
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_4
data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs/settings.xml

Oare ce o fi în settings.xml?

shell@android:/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_pref
s # cat settings.xml
cat settings.xml
<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’ ?>
<map>
<string name=”opt5″></string>
<string name=”lastName”>Popescu</string>
<string name=”opt6″></string>
<string name=”phone”>1234567</string>
<string name=”opt3″></string>
<string name=”opt4″></string>
<string name=”opt9″></string>
<string name=”opt7″></string>
<string name=”opt8″></string>
<boolean name=”showMapPositionInfo” value=”false” />
<string name=”email”>ion@popescu.ro</string>
<string name=”firstName”>Ion</string>
<string name=”opt2″></string>
<string name=”myAddresses„>[{&quot;gps_lng&quot;:26.145351,&quot;localityName&qu
ot;:&quot;București&quot;,&quot;building&quot;:&quot;&quot;,&quot;gps_lat&quot;
:44.43555,&quot;street&quot;:&quot;Strada Maior Ion Coravu&quot;,&quot;name&quot
;:&quot;Birou&quot;,&quot;address_details&quot;:&quot;&quot;,&quot;streetNo&quot
;:&quot;5&quot;,&quot;entrance&quot;:&quot;&quot;}]</string>
<string name=”opt1″></string>
</map>

Interesant, deci adresa din comandă e stocată aici, dar şi adresa(le) salvată de mine cu denumirea „Birou”. Totul plain text, bineînţeles.

Acum să trecem la partea de cod – ce se ascunde în spatele aplicaţiei? Pentru început, permisiunile necesare care sunt multe şi cer acces la o groază de lucruri.

Your location
coarse (network-based) location
fine (GPS) location

Network communication
full Internet access

Your personal information
read contact data

Phone calls
read phone state and identity

System tools
prevent tablet from sleeping prevent phone from sleeping
modify global system settings

Your accounts
discover known accounts

Hardware controls
control vibrator

Network communication
view network state

Pentru ce naiba sunt necesare atâtea permisiuni pentru o simplă aplicaţie de comandă a unui taxi nu pot înţelege. Cele de mai sus se găsesc şi în fişierul manifest, aşa cum e normal:

La partea de cod recunosc că nu am destule cunoştinţe pentru a spune dacă este bun sau nu, însă în mare mi-am format o idee. Parcurgând clasele, mi-a sărit în ochi următoarea parte de cod:

Cum adică IMEI? De ce ai tu, ca şi companie, nevoie de IMEI-ul telefonului? Dar să vedem mai departe…

Pe partea de comunicaţie încep prin a spune că aceasta se face total necriptat şi nesecurizat. Aşa cum menţionam anterior, se pare că aplicaţia ia şi codul IMEI al telefonului, însă nu înseamnă neapărat că îl şi transmite. Pentru a verifica acest lucru, aplicaţia am pus-o într-un emulator cu drepturi de root, deci nu are un dispozitiv GPS de care se poate folosi pentru a transmite locaţia.

Dacă se doreşte setarea unei anumite locaţii, aceasta se poate face făcând telnet pe host-ul şi portul emulatorului, după care se dă comanda

geo fix 44.445818 26.097261
OK

Astfel am putut ajunge la ecranul de iniţiere al comenzii pentru un taxi. Am selectat o stradă oarecare din Bucureşti (Vasile Alecsandri în cazul meu) şi am plasat comanda. Alte detalii cerute au fost numele, prenumele, numărul de telefon, adresa de email (opţional, dar detectată automat dacă e pus un cont Google), nr străzii. După un timp de aşteptare a venit şi răspunsul prin care eram anunţat că o maşină va sosi. Din păcate aplicaţia crapă la primirea răspunsului, însa acest lucru se datorează faptului că rulează pe emulator.

Ce s-a văzut pe partea de comunicaţii e şi mai interesant. În primul rând, traficul făcut către Google maps pentru alegerea locaţiei:

POST /glm/mmap/a HTTP/1.1
Connection: close
Content-Type: application/binary
Content-Length: 246
Host: www.google.com
User-Agent: GMM/3.0 (generic FRF91); gzip

l>oen_USandroid:generic-generic-sdk1.6gmm-unknown>
484*2ro.mobiessence.android.clevertaxi.core.MapPosition
’0ZZHmFlvayvSoFQMRT9YYJSmpU2MCZTefLJ8A7w
3c89da0d4bcf25309dd0cb0592b07628
db7d646fd19395a


%I

GET /maps/geo?q=44.450539,26.093816&output=json&sensor=false HTTP/1.1
Host: maps.google.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)

HTTP/1.1 200 OK
Content-Type: text/javascript; charset=UTF-8
Vary: Accept-Language
Date: Sun, 20 May 2012 11:32:50 GMT
Server: mafe
Cache-Control: private
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

34e
{
„name”: „44.44982,26.09424”,
„Status”: {
„code”: 200,
„request”: „geocode”
},
„Placemark”: [ {
„id”: „p1″,
„address”: „Strada Vasile Alecsandri, Bucharest, Romania”,
„AddressDetails”: {
„Accuracy” : 6,
„Country” : {
„CountryName” : „Romania”,
„CountryNameCode” : „RO”,
„Locality” : {
„DependentLocality” : {
„DependentLocalityName” : „Sector 1″,
„Thoroughfare” : {
„ThoroughfareName” : „Strada Vasile Alecsandri”
}
},
„LocalityName” : „Bucharest”
}
}
},
„ExtendedData”: {
„LatLonBox”: {
„north”: 44.4516889,
„south”: 44.4489910,
„east”: 26.0956247,
„west”: 26.0929267
}
},
„Point”: {
„coordinates”: [ 26.0942727, 44.4503400, 0 ]
}
} ]
}

0

După setarea poziţiei pe hartă şi completarea celorlalte date, am iniţiat comanda. În acest moment se face o cerere plaintext către un server general, pe portul 5454, în care se transmit mai multe informaţii:

– nume, prenume
– număr telefon
– codul IMEI al telefonului (!!!)
– acurateţea poziţionării, latitudine, longitudine, localitate, stradă
– adresa email
– compania de taxi pentur care s-a făcut cererea
– ID-ul unic al dispozitivului
– data,ora comenzii

În format brut, aşa arată informaţia cerută

{„data”:{„order”:{„lname”:”Popescu”,”no_cars”:1,”tel”:”12345678″,”imei„:”000000000000000″,”versioncode”:”4″,”networklocation”:{„accuracy„:”0.0″,”lng”:”44.445816″,”lat”:”26.09726″},”timestamp”:1337512997867,”source”:”android”,”details”:””,”email”:””,”token”:”3007e861b1823e13fbd2c6afc3539c7f”,”address”:”Strada Vasile Alecsandri 3, Bucharest”,”company”:{„id”:”3″,”name„:”Speed Taxi”},”gps”:{„lng”:”26.09424″,”lat”:”44.44982″},”fname”:”Ionel”,”deviceId„:”9774d56d682e549c”}},”status”:”success”}

De ce este nevoie să transmită codul IMEI şi deviceID nu înţeleg. O posibilă explicaţie ar fi pentru a preveni comenzile făcute abuziv de la un anumit dispozitiv, dar chiar şi aşa sunt prea multe date transmise, mai ales că se trimit nesecurizat. Apple a început să refuze aplicaţiile care cer acest identificator unic – vezi aici.

Faptul că se specifică şi numele companiei de taxi în pachetul transmis mă face să cred că de fapt datele ajung mai întâi la un terţ, abia apoi fiind transmise către compania ce va onora comanda. Am găsit această aplicaţie, desigur cu datele de identificare schimbate şi pentru alte companii de taxi din Bucureşti iar aplicaţia e făcută de aceeaşi firmă în toate cazurile.

Observaţi număr pus de mine – 12345678 – aşa că nu aveam aşteptări prea mari să şi primesc comanda. În plus, dacă vă uitaţi atent vedeţi şi faptul că acurateţea e zero, deci e aproape sigur faptul că poziţionarea pe hartă am făcut-o manual. Dar asta deja ţine de logic flaw. Cu toate acestea, după un timp de aşteptare de aprox 1 minut, a venit şi răspunsul de la server:

Comanda a fost onorată cu succes şi urmează să ajungă în 3 minute maşina cu indicativul 139. Îmi cer scuze pentru comanda falsă – promit să mai fac

Singura protecţie întâlnită a fost cea prin care se verifică localitatea, răspunsul primit fiind „You are out of accepted area”.

Concluzii

Eu unul nu voi mai folosi această aplicaţie, atât din cauza informaţiilor transmise, dar şi pentru că am vrut să fac o comandă la un moment dat şi mi-a cerut numărul străzii – păi dacă îl ştiam mai apelam la o astfel de aplicaţie?

Aştept feedback pentru a vedea dacă sunteţi interesaţi să testez şi alte aplicaţii româneşti.

Ah şi încă ceva: dacă cineva e dispus să doneze un iPhone (preferabil ultima versiune) voi testa şi aplicaţiile pentru iOS