¿Está comprometido el cliente TOR de Orbot para Android (permisos para la identificación del dispositivo y la información de la persona que llama)?

Question

¿Está comprometido el cliente TOR de Orbot para Android (permisos para la identificación del dispositivo y la información de la persona que llama)?

#1 de Guardian Project (4 votos)
#2 de CommonsWare (3 votos)

4

Durante la actualización de aplicaciones de hoy, la actualización de ORBOT solicita permisos adicionales: a) foto / medios / archivos , yb) ID del dispositivo e información de la persona que llama .

(Android 5.0.1, ORBOT actual (pre-actualización) 15.2.0-RC-8-multi)

¿Por qué una aplicación, con el objetivo principal de proporcionar anonymity , solicitará activamente permiso para acceder a la identificación del dispositivo y la información de la persona que llama ?

¿Hasta ahora no lo permití y me pregunto qué es más peligroso, usar una versión desactualizada u otorgar permisos paradójicos ...?

Preguntas concretas:

¿Los demás experimentan la misma solicitud (de lo contrario, sería un indicio de que mi dispositivo está comprometido)?
¿Alguien tiene la oportunidad de analizar el acceso a los archivos y el tráfico de la red (si el cifrado lo permite, tal vez nunca lo descubra?) y probar si ORBOT hace uso de estos permisos y cómo los utiliza: (a) donde envía información de identificación, (b) ¿Qué archivos quiere leer / escribir que no han sido necesarios durante mucho tiempo?
¿Alguien tiene una explicación de por qué ORBOT necesitaría legítimamente estos permisos? ¿O hay alguna información si la aplicación ORBOT está comprometida, ...? Algunas otras causas (generales, no específicas de TOR) se enumeran en la respuesta de Falco here , pero no puedo creer que los programadores de ORBOT (¡gracias!) los acepten (por error / perezoso & codificación incompetente / necesario para obtener acceso a funciones legítimas ...)?

¡Gracias por ayudar!

android tor

pregunta Martin 09.06.2017 - 00:05

fuente

2 respuestas

4

Gracias por preguntar y cuidar. Entendemos que los usuarios pueden alarmarse por la nueva solicitud de permisos, y deberíamos haber hecho un mejor trabajo para explicar para qué sirven.

Desde aquí: enlace

"Orbot solicita nuevos permisos que solo se usan si habilitas las funciones del Servicio Oculto".

Más detalles están llegando. Esto solo te afecta realmente si estás en versiones anteriores de Android, que no te permiten "denegar" los permisos cuando se solicitan.

respondido por el Guardian Project 09.06.2017 - 11:47

fuente

Lea otras preguntas en las etiquetas android tor

Sugerencias de ejercicios de CTF de pentesting para sistemas muy cerrados ¿Cómo se manejan las revocaciones de CA raíz?

score 3 · Accepted Answer

¿Por qué una aplicación, con el objetivo principal de proporcionar el anonimato, solicitará activamente permiso para acceder a la identificación del dispositivo y la información de la persona que llama?

Cotización de la lista de Play Store: "NUEVO PERMISO OPCIONAL:" Escribir almacenamiento externo "y" Leer el estado del teléfono "deben ser compatibles con los servicios de respaldo y de fondo de los Servicios Ocultos. No se leen, almacenan ni transmiten datos personales".

¿Los demás experimentan la misma solicitud (de lo contrario, sería un indicio de que mi dispositivo está comprometido)?

Deberían, ya que esos permisos están en el árbol de origen .

¿Alguien tiene la oportunidad de analizar el acceso a los archivos y el tráfico de la red (si el cifrado lo permite, tal vez nunca lo descubra?) y probar si ORBOT utiliza estos permisos y cómo los utiliza: (a) donde envía información de identificación, (b) ¿Qué archivos quiere leer / escribir que no han sido necesarios durante mucho tiempo?

Si le preocupa lo que hace Orbot, revise el código fuente , luego compile a partir de ese código fuente. No es necesario que confíe en lo que se entrega a través del canal de distribución de aplicaciones que esté utilizando, ni tampoco que tenga sentido el tráfico de red cifrado por diseño y demás.

¿Alguien tiene una explicación de por qué ORBOT necesitaría legítimamente estos permisos?

Ver más arriba. Tengo entendido que agregaron soporte de servicio oculto de Tor y para eso necesitaron esos permisos.

Dado que targetSdkVersion es 25, lo ideal sería que te pidan esos permisos solo si utilizas la funcionalidad en la aplicación que los necesita. Esa es la experiencia que obtengo al instalar la última versión de Play Store en un Nexus 5X, mientras que los permisos aparecen en Configuración, no los han pedido y, por lo tanto, no los tienen. Este es un comportamiento perfectamente normal en Android 6.0+.