Blog
android
android
1 obserwujący 8 notek 4470 odsłon
android, 26 stycznia 2017 r.

Rootować, czy nie rootować - oto jest pytanie

842 0 1 A A A


Na początek, parę słów wyjaśnienia - czym jest "root". Pod tym obco brzmiącym pojęciem kryją się uprawnienia administratora systemu, których użytkownik telefonu, czy tabletu standardowo nie posiada. Dlaczego? Ponoć ze względów bezpieczeństwa. Podstawowy argument jest tutaj prosty - użytkownik nie mając dostępu do plików systemowych, nie jest w stanie nic zepsuć. Biorąc pod uwagę liczbę i popularność aplikacji obiecujący "optymalizację" pracy procesorów, pamięci, baterii, czy radia, wydaje się to mieć sens, bo domorosłych majsterkowiczów, chcących wycisnąć ze swego urządzenia maksimum wydajności nie brakuje, choć często brakuje im odpowiedniej wiedzy, na co dowodem jest liczba próśb o pomoc na forach internetowych, gdzie czytamy łzawe wyznania, jak to kolejny telefon nie przetrzymał eksperymantów, mających ze średniaka zrobić "flagowca".


Drugi podstawowy argument wygląda równie sensownie - w Androidzie każda aplikacja działa w izolacji od wszystkich pozostałych i ma dostęp wyłącznie do tego, na co pozwalają jej uprawnienia. A więc przykłądowo - aplikacja kalkulatora nie będzie mieć wglądu do naszej listy kontaktów, czy możliwości wysyłania SMSów. Przynajmniej w teorii. System uprawnień został stworzony z myślą o ochronie systemu oraz danych użytkownika, ale w praktyce jest powszechnie ignorowany i co chwila dochodzą nas mrożące krew w żyłach doniesienia o kolejnej, przysłowiowej już, "aplikacji latarki", której lista uprawnień liczy kilka stron A4, a dane kolejnych milionów osób wylądowały gdzieś na chińskich, albo rosyjskich serwerach. Zjawisko to doczekało się już nawet swojego "eksperymentu społecznego", którego zapis można obejrzeć na poniższym filmie:


Aplikacje z dostępem "root" idą jeszcze dalej, ponieważ mogą działać w ogóle poza systemem uprawnień i siać o wiele większe spustoszenie. Skoro jednak ludzie nie przywiązują większej wagi do listy uprawnień aplikacji, którą właśnie instalują, to fakt posiadania "roota" lub jego nieposiadania, przestaje mieć praktyczne znaczenie.


Żeby daleko nie szukać i nie posiłkować się "eksperymantami społecznymi", wystarczy przytoczyć przykład z ostatniego tygodnia - aplikacja Meitu, mająca wedle statystyk Sklepu Play ponad 10 milionów pobrań, wysyła na chińskie serwery m.in. numer IMEI użytkownika, jego lokalizację i całą masę informacji "technicznych" o urządzeniu i jego systemie, choć służy zaledwie do wykonywania popularnych "selfie"...


W tym miejscu aż się prosi, aby pójść o krok dalej i nie tylko wyciągać interesujące nas dane, bez wiedzy i zgody użytkownika, ale także instalować mu oprogramowanie, znacząco rozszerzające możliwości szkodliwego działania. Na takim pomyśle zasadza się bardzo popularna aplikacja "rootująca" made in China, Kingroot. Kingroot nie jest co prawda zaliczany do kategorii aplikacji niebezpiecznych, choć nie do końca wiadomo czy słusznie, ale sam sposób jego działania pokazuje, jak bardzo trzeba uważać na to, co instalujemy na swoich telefonach. Aplikacja ta, po zainstalowaniu, wysyła dane naszego urządzenia na serwer, gdzie znajduje się baza danych "exploitów", czyli luk w zabezpieczeniach systemu, które można wykorzystać do uzyskania uprawnień administratora. Po znalezieniu exploita, nasz telefon jest za jego pomocą rootowany i użytkownik może się cieszyć nieograniczoną kontrolą nad swoim urządzeniem. Wszystko dzieje się na zasadzie "one-click" i o ile Kingroot rootuje nasz telefon na naszą wyraźną prośbę, to łatwo sobie wyobrazić, że każda inna aplikacja może to zrobić bez owej prośby, a klucze do samego jądra naszego systemu wręczyć komukolwiek. Oczywiście szanse, że taki program moglibyśmy ściągnąć ze Sklepu Google są bliskie zeru, ale twierdzenie, że Android jest bezpieczniejszy, ponieważ standardowo nie posiada roota, nie jest aż tak uprawnione, jak się na pierwszy rzut oka wydaje. Dla porządku dodam, że absolutnie nie polecam ani KingRoota, ani innych tego typu wynalazków, choćby dlatego, że bardzo wiele osób "ucegliło" sobie za jego pomocą telefon, a niestety nie zawsze jest możliwe, żeby takie urządzenie przywrócić później do życia.


Zarówno sama filozofia stojąca za ograniczaniem uprawnień użytkownika w Androidzie, jak i praktyka życiowa, potwierdzają że najsłabszym ogniwem, jeśli chodzi o bezpieczeństwo systemu, jest sam jego użytkownik - z rootem, czy bez. W związku z tym, trudno nie przychylać się do opinii osób, twierdzących że za blokowaniem dostępu do zasobów systemowych stoi raczej chęć utrzymania pewnej kontroli nad samym użytkownikiem i to bynajmniej nie w celu zapewnienia mu podstawowego bezpieczeństwa, a przynajmniej - nie przede wszystkim. Jak już wcześniej pisałem, Google żyje z reklam, a smartfon, czy tablet jest doskonałym narzędziem służącym ich dostarczaniu. Z drugiej strony są jeszcze producenci samych urządzeń, lubiący fabrycznie instalować przeróżne aplikacje, jak Facebook, Ebay, czy Amazon - oczywiście wzamian za korzyści finansowe. Do tego dochodzi nieuchronny proces "eksploracji danych" ("data minig") i tu dochodzimy do sedna - nawet jako formalni (choć nie zawsze i nie do końca) właściciele urządzenia mobilnego, nadal pozostajemy tylko jego użytkownikami, a do tego wciąż za to użytkowanie płacimy - w taki czy inny sposób.

Skomentuj Obserwuj notkę Napisz notkę Zgłoś nadużycie

Tematy w dziale Technologie