Applicazioni del market: vidarsi e' bene, non fidarsi e' meglio?

[Nipa]

Buonanotte e buon anno a tutti, innanzitutto
Scrivo a quest'ora perche' poi, domani, sicuramente mi saro' dimenticato di scrivere e condividere con voi i risultati di una mia ricerca.
Ho scaricato un'app, dal market, di cui per ora non faro' il nome. Quest'app permette di gestire i vari tasks, e di sincronizzarli con Google Tasks.
Avendo un firewall, e' stata opportunamante bloccata. Non do mai l'autorizzazione alle app di collegarsi ad internet, prima di aver analizzato i server con cui scambiano dati...
Quest'app mi ha veramente stupito. Con la scusa di sincronizzare i dati con Google (1 indirizzo ip su parecchi), scambia anche numerose informazioni (di cui non so il tipo) con altri server, tra cui uno privato ed altri vari.
Ora, non conosco questi server, e vorrei sentire la vostra opinione. Tra l'altro, tra vedere e non vedere, ho pure cambiato la password di google per l'account che tenevo sincronizzato, anche se le credenziali mi erano state richieste da una webview e non tramite form costruito "interno" all'app. Che io sappia le credenziali non si possono sottrarre da una webview, pero' non si sa mai...
Qualcuno sa come funzionano queste sincronizzazioni? Ovvero l'app ha accesso diretto ai dati dell'utente per eseguire login ed altre cose, oppure no?

Comunque vi allego l'avviso di DroidWall, con a lato il nome dei server risultante dalla ricerca.


Tra l'altro, adesso sto usando un altro noto programma per gestire i tasks...e pure questo si collega ad un server che non c'entra nulla, ne' con l'app ne' col tema... Saro' pure paranoico, ma non mi fido...sara' perche' so bene cosa ci si puo' fare con i vari permessi, avendo scritto qualche app. Per chi fosse interessato il sito e' p_e_r_u_r_e_i_s_e_n.com .

Avete opinioni o pensieri a riguardo? O la mia e' eccessiva paranoia?

[Recordsman]

Guardando in giro quel sito non sembra essere segnalato in nessuna blacklist e addirittura usato anche da yahoo.comunque tra l applicazione e quel sito non c'è rapporto apparente,più che altro secondo me funge da host di servizi.secondo me sarebbe giusto che se hai trovato un app poco chiara, tu comunicassi il nome a noi utenti anche per avere un qualche riscontro da chi magari l ha già usata.

Inviato dal mio Galaxy Nexus usando la forza del pensiero

[Nipa]

Guardando in giro quel sito non sembra essere segnalato in nessuna blacklist e addirittura usato anche da yahoo.comunque tra l applicazione e quel sito non c'è rapporto apparente,più che altro secondo me funge da host di servizi.secondo me sarebbe giusto che se hai trovato un app poco chiara, tu comunicassi il nome a noi utenti anche per avere un qualche riscontro da chi magari l ha già usata.

Inviato dal mio Galaxy Nexus usando la forza del pensiero

L'app dello screenshot e' questa.
Quella del sito peru*.com e' questa.
Purtroppo sono entrambe applicazioni che necessitano di connessione ad internet, altrimenti nemmeno mi metterei il problema.

Per la seconda app, ho gia' provveduto a scrivere una mail all'autore chiedendo informazioni circa quel sito, vediamo che mi risponde
Sarebbe davvero un peccato, perche' la seconda soprattutto e' un'app proprio comoda.

[Cosmogenesis]

Allora, prima di tutto rilassati, non sei paranoico.
Uno dei problemi degli smartphone è appunto la privacy e il furto di dati personali da parte di società senza scrupoli (facebook, google, amazon e compagnia bella) che le studiano tutte per raccogliere dati dall' utente e rivenderli a pubblicitari. Molti non hanno idea di quanto le app raccolgano in effetti e a dirla tutta, è anche oggettivamente difficile da quantificare. Considera che anche il famosissimo browser Dolphin è stato recentemente coinvolto Ora, analizzando i dati forniti: Google è google, serve per i task, AmazonAws è il webservice di Amazon che potrebbe essere usato come analytics o similia (o dati personali anche, ma non password). Quello che mi lascia perplesso è l' Ip che non riconosci, quello contrassegnato da ?????? e che secondo il whois dovrebbe appartenere a Avguro Technologies, con localizzazione in Russia e che dovrebbe essere un servizio di hosting.
E questo mi lascia parecchi dubbi, abbastanza da farmi venire voglia di disinstallare l' app. In ogni caso, dubito rubi password o simili, molto probabilmente invia qualche dato riguardante la sincronizzazione stessa.

Facci sapere il nome dell' app e complimenti per l' occhio e la prudenza.

[Nipa]

Quello che mi lascia perplesso è l' Ip che non riconosci, quello contrassegnato da ?????? e che secondo il whois dovrebbe appartenere a Avguro Technologies, con localizzazione in Russia e che dovrebbe essere un servizio di hosting.
E questo mi lascia parecchi dubbi, abbastanza da farmi venire voglia di disinstallare l' app. In ogni caso, dubito rubi password o simili, molto probabilmente invia qualche dato riguardante la sincronizzazione stessa.

Facci sapere il nome dell' app e complimenti per l' occhio e la prudenza.

Sinceramente quello che piu' temo non sono le cosiddette grandi aziende (Google, Amazon...), che i miei dati li possiedono proprio perche' io ho deciso che potevano possederli. Quello che mi lascia perplesso sono gli altri vari siti, che prendono informazioni "a tradimento".
Il server contrassegnato da ?????? e' appunto un "indirizzo ip privato", come mi ha risposto il whois, ed e' quello che mi ha spinto a disinstallare l'app (i nomi sono messi sopra).

Di quest'app mi son preso la briga di ricercarli perche' necessitava di una connessione ad internet, e quindi di un'abilitazione su iptables. Le altre app le tengo volutamente in blacklist per evitare comunicazioni indesiderate e non avere problemi

[Nipa]

Per fronteggiare le comunicazioni con ip che non ci interessano e di cui non comprendiamo l'utilita', come il sito peru*.com, in DroidWall, basta inserire il seguente script:
$IPTABLES -A "droidwall" -destination "216.*.*.14" -j "droidwall-reject"
dove 216.*.*.14 e' l'ip di peru*.com e la cui comunicazione volevo interrompere. In questo modo Taskos sincronizzera' solamente con il server google.

Spero che tale dritta sia utile a qualcun'altro

[Nipa]

Aggiorno per comunicarvi che anche tutte le altre app (che fino ad ora ho provato) tentano di collegarsi al sito peru*.com, tra cui anche un'altra per la conversione di valute, ASTRO...e' possibile che la rom che ho montata o addirittura il kernel tenti di collegarsi a tale sito?
Il fatto e' che il firewall blocca i pacchetti di una determinata app verso un certo indirizzo, in questo caso 216.*.*.14, quindi se fosse anche il kernel a volersi collegare a tale ip me lo direbbe...

Sospetto dunque che ogni app installata comunichi con quel sito per fini statistici sulle app usate, o per sottrarre (importanti?) dati.

I dati sul mio dispositivo sono:
- Galaxy S2
- kernel siyah
- firmware android 2.3.6 KK5

Il mistero si infittisce...continuero' ad aggiornarvi non appena avro' maggiori informazioni

[Cosmogenesis]

Nipa, dato che la cosa interessa anche a me, appena ho il telefono sottomano installo Astro e faccio una prova e vediamo com'è la cosa.

[docdoc]

La cosa e' interessante... Magari provero' anche io sui miei device Android ad installare il firewall e vedo se anche a me fa cose di questo tipo.
Ma per curiosita', che ROM hai e dove l'hai presa? Perche' ho il sospetto che sia legato alla "cucina" della tua ROM..

[Andreamer]

Hai mai installato app fuori dal market?