Uprawnienia aplikacji na Androida zostały uproszczone - teraz są znacznie mniej bezpieczne
Google właśnie wprowadził ogromną zmianę w sposobie, w jaki uprawnienia aplikacji działają na Androida. Aplikacje już na Twoim urządzeniu mogą teraz uzyskać niebezpieczne uprawnienia dzięki automatycznym aktualizacjom. Przyszłe aplikacje mogą uzyskać niebezpieczne uprawnienia również bez pytania.
To wszystko dzięki najnowszej aktualizacji Sklep Play i jej uproszczonemu interfejsowi uprawnień do aplikacji. Podstawowy pomysł - uczynienie uprawnień aplikacji na Androida zrozumiałymi dla zwykłych użytkowników - jest dobry. Wdrożenie to duży problem.
Aplikacje mogą teraz dodawać uprawnienia bez pytania
Google Play teraz grupuje uprawnienia aplikacji w grupy powiązanych uprawnień. Na przykład aplikacja, która chce odczytać przychodzące wiadomości SMS, wymaga uprawnienia "Odczytaj wiadomości SMS". Gdy zainstalujesz go ze Sklepu Play, zobaczysz prośbę o grupę uprawnień "SMS".
Zainstaluj aplikację i dajesz mu dostęp do wszystkich uprawnień związanych z SMS-em. Aplikacja może teraz automatycznie aktualizować i zyskać możliwość wysyłania wiadomości SMS bez pytania.
Czy masz na urządzeniu aplikacje, którym ufasz, że czytasz SMS-y, ale ich nie wysyłasz? Te aplikacje mogą teraz uzyskać możliwość wysyłania wiadomości SMS bez pytania - wszystko, co musi zrobić programista, to zaktualizować aplikację.
Jedynym sposobem, aby temu zapobiec, jest wyłączenie automatycznych aktualizacji i ręczne weryfikowanie uprawnień aplikacji za każdym razem, gdy aplikacja chce ją zaktualizować - tak, jakby to było rozsądne rozwiązanie! Jeśli to zrobisz, skończy Ci się też używanie nieaktualnych wersji aplikacji, co jest kolejnym problemem z bezpieczeństwem.
Grupy uprawnień zawierają zarówno bezpieczne, jak i niebezpieczne uprawnienia
Duży problem polega na tym, że grupy mogą zawierać zarówno zwykłe, podstawowe uprawnienia, jak i bardziej niebezpieczne uprawnienia. Na przykład:
- Lokalizacja: Aplikacja, która prosi o przybliżoną, opartą na sieci lokalizację, może teraz uzyskać pozwolenie na śledzenie Twojej dokładnej lokalizacji za pomocą GPS urządzenia.
- SMS: Aplikacja, która tylko potrzebuje odbierać wiadomości tekstowe, może teraz uzyskać pozwolenie na wysyłanie wiadomości SMS w tle, potencjalnie kosztując Cię pieniądze.
- Telefon: Aplikacja, która prosi o odczytanie Twojego rejestru połączeń, może teraz uzyskać pozwolenie na przekierowanie połączeń wychodzących i wykonywanie połączeń telefonicznych bez pytania użytkownika.
- Zdjęcia / Media / Pliki: Aplikacja, która musi odczytać zawartość pamięci USB lub karty SD, może teraz sformatować całe zewnętrzne urządzenie pamięci.
- Aparat / mikrofon: Aplikacja, która ma uprawnienia do robienia zdjęć i filmów (na przykład aplikacja aparatu fotograficznego), może teraz uzyskać uprawnienia do nagrywania dźwięku. Aplikacja może Cię słuchać, gdy korzystasz z innych aplikacji lub gdy ekran urządzenia jest wyłączony.
Zostaniesz poproszony o potwierdzenie, kiedy aplikacja wymaga nowej grupy uprawnień. Jeśli przyznałeś już dostęp do jednego pozwolenia z grupy, wszystkie zakłady są wyłączone, a aplikacja może uzyskać wszystkie uprawnienia w tej grupie.
Ogromne ilości aplikacji na Androida już wymagają więcej uprawnień, niż potrzebują, a teraz te aplikacje otrzymały jeszcze więcej uprawnień, których nie potrzebują!
Każda aplikacja uzyskuje dostęp do Internetu
Google udostępniło także każdej aplikacji dostęp do Internetu, skutecznie usuwając pozwolenie na dostęp do Internetu. Och, oczywiście, programiści Androida wciąż muszą zadeklarować, że chcą mieć dostęp do Internetu podczas składania aplikacji. Jednak użytkownicy nie mogą już widzieć uprawnień dostępu do Internetu podczas instalowania aplikacji, a bieżące aplikacje, które nie mają dostępu do Internetu, mogą teraz uzyskać dostęp do Internetu dzięki automatycznej aktualizacji bez pytania użytkownika.
Oczywiście, większość aplikacji potrzebuje obecnie dostępu do Internetu, ale nie wszystkie. Możesz użyć tapety na żywo, latarki lub aplikacji na klawiaturę bez udostępniania jej w Internecie. W rzeczywistości jedną z funkcji zabezpieczeń dla klawiatur innych firm w systemie iOS 8 firmy Apple jest to, że te klawiatury nie mogą uzyskać dostępu do Internetu, chyba że użytkownik na to zezwoli. Wszystkie klawiatury na Androida mogą teraz uzyskać dostęp do Internetu.
Uprawnienia aplikacji na Androida zostały złamane, w każdym razie
System uprawnień aplikacji Androida został już złamany. Jest to mniejszy system uprawnień i więcej systemu popytu. Aplikacja wymaga, aby wymagała pewnych funkcji, i możesz ją wziąć lub ją opuścić. Nie możesz wybrać, czy chcesz nadać aplikacji pewne uprawnienia, ale nie inne. Android faktycznie miał wbudowany menedżer uprawnień, nad którym pracowano, ale Google go usunął. Teraz tylko użytkownicy, którzy rootują swoje urządzenia i korzystają z Xposed Framework, aby odzyskać funkcję App Ops lub zainstalować niestandardowe ROMy, takie jak CyanogenMod, mogą zarządzać uprawnieniami aplikacji. Typowi użytkownicy Androida są bezsilni.
Większość systemu uprawnień aplikacji dla Androida właśnie straciła sens. Po co zawracać sobie głowę drobiazgowym systemem uprawnień, w ramach którego programiści muszą prosić o dostęp do Internetu i o indywidualne uprawnienia, takie jak "czytaj SMS-y"? Google może równie dobrze przerobić uprawnienia aplikacji na Androida i sprawić, że aplikacje będą prosić o dostęp do grup uprawnień. Przynajmniej nie dadzą nam fałszywego poczucia bezpieczeństwa!
Przez cały czas system iOS firmy Apple ma funkcjonalny system uprawnień, który zapewnia użytkownikom kontrolę.
Nie, to nie jest atak na Androida z fanboyem Apple. Uwielbiam Androida i używam Nexusa 4 jako smartfona, ale wierzę w dawanie użytkownikom mocy. Użytkownicy Androida powinni mieć możliwość wybrania aplikacji, które mogą wysyłać wiadomości SMS, oraz tego, czy aplikacje aparatu mogą nagrywać dźwięk. Teraz nie tylko nie możemy kontrolować uprawnień bez zrootowania lub instalacji niestandardowej pamięci ROM, nowy system uprawnień daje nam jeszcze mniej energii.
Dzięki iamtubeman na Reddit za zbadanie tego ważnego problemu i przetestowanie go. Wyjaśnienie Google dotyczące nowych uproszczonych uprawnień aplikacji na Androida można znaleźć tutaj.