20Jul

Android App-Berechtigungen wurden nur vereinfacht - jetzt sind sie viel weniger sicher

Google hat die Art, wie App-Berechtigungen auf Android funktionieren, stark verändert. Apps, die sich bereits auf Ihrem Gerät befinden, können jetzt mit automatischen Updates gefährliche Berechtigungen erhalten. Zukünftige Apps können gefährliche Berechtigungen erlangen, ohne Sie zu fragen.

Dies ist alles dank des neuesten Play Store-Updates und seiner vereinfachten App-Berechtigungsschnittstelle. Der Kerngedanke hier - Android-App-Berechtigungen für normale Benutzer verständlich zu machen - ist gut. Die Implementierung ist das große Problem.

-Apps können jetzt Berechtigungen hinzufügen, ohne Sie zu fragen

Google Play gruppiert jetzt App-Berechtigungen in Gruppen mit zugehörigen Berechtigungen. Beispiel: Eine App, die Ihre eingehenden SMS-Nachrichten lesen möchte, benötigt die Berechtigung "SMS-Nachrichten lesen".Wenn Sie es über den Play Store installieren, werden Sie nach der Berechtigungsgruppe "SMS" gefragt.

Installieren Sie die App, und Sie erhalten Zugriff auf alle SMS-bezogenen Berechtigungen. Die App kann nun automatisch aktualisiert werden und die Möglichkeit erhalten, SMS-Nachrichten zu senden, ohne Sie zu fragen.

Verfügen Sie auf Ihrem Gerät über Apps, von denen Sie erwarten, dass sie SMS lesen, aber nicht senden? Diese Apps können jetzt SMS-Nachrichten senden, ohne Sie dazu aufzufordern - der Entwickler muss lediglich die App aktualisieren.

Die einzige Möglichkeit, dies zu verhindern, besteht darin, automatische Updates zu deaktivieren und die App-Berechtigungen jedes Mal manuell zu überprüfen, wenn eine App aktualisiert werden soll - als ob das eine vernünftige Lösung wäre! Wenn Sie dies tun, werden Sie auch veraltete Versionen von Apps verwenden, was ein weiteres Sicherheitsproblem darstellt.

-Berechtigungsgruppen enthalten sowohl sichere als auch gefährliche Berechtigungen

Das große Problem besteht darin, dass Gruppen sowohl normale, grundlegende Berechtigungen als auch gefährlichere Berechtigungen enthalten können. Zum Beispiel:

  • Location : Eine App, die nach Ihrem ungefähren, netzwerkbasierten Standort fragt, kann jetzt die Erlaubnis erhalten, Ihren genauen Standort mit dem GPS Ihres Geräts zu verfolgen.
  • SMS : Eine App, die nur Textnachrichten empfangen muss, kann jetzt die Berechtigung zum Senden von SMS-Nachrichten im Hintergrund erhalten, was möglicherweise Geld kostet.
  • Telefon : Eine App, die Sie bittet, Ihr Anrufprotokoll zu lesen, kann jetzt die Erlaubnis erhalten, ausgehende Anrufe umzuleiten und Telefonanrufe zu tätigen, ohne Sie zu fragen.
  • Fotos /Media/ Dateien : Eine App, die den Inhalt Ihres USB-Speichers oder Ihrer SD-Karte lesen muss, kann nun Ihr gesamtes externes Speichergerät formatieren.
  • Kamera / Mikrofon : Eine App mit der Berechtigung zum Aufnehmen von Bildern und Videos( z. B. eine Kamera-App) kann jetzt die Berechtigung zum Aufnehmen von Audio erhalten. Die App könnte Ihnen zuhören, wenn Sie andere Apps verwenden oder wenn der Bildschirm Ihres Geräts ausgeschaltet ist.

Sie werden gefragt, ob eine App eine neue Gruppe von Berechtigungen benötigt. Wenn Sie bereits Zugriff auf eine einzelne Berechtigung von einer Gruppe gewährt haben, sind alle Wetten deaktiviert und die App kann alle Berechtigungen in dieser Gruppe abrufen.

Große Mengen von Android-Apps verlangen bereits mehr Berechtigungen, als sie benötigen, und jetzt haben diese Apps noch mehr Berechtigungen erhalten, die sie nicht benötigen!

Jede App bekommt Internet-Zugang

Google hat auch jeder App Internet-Zugang gegeben, effektiv die Internet-Zugangsberechtigung zu entfernen. Oh, sicher, Android-Entwickler müssen immer noch erklären, dass sie beim Zusammenstellen der App Internet-Zugang wollen. Benutzer können die Internetzugriffsberechtigung bei der Installation einer App jedoch nicht mehr sehen, und aktuelle Apps ohne Internetzugriff können jetzt mit einem automatischen Update auf den Internetzugriff zugreifen, ohne Sie dazu aufzufordern.

Sicher, die meisten Apps benötigen heutzutage Internetzugriff, aber nicht alle. Vielleicht möchten Sie ein Live-Wallpaper, eine Taschenlampe oder eine Tastatur-App verwenden, ohne Internetzugang zu gewähren. Eine der Sicherheitsfunktionen für Third-Party-Tastaturen in Apples iOS 8 besteht darin, dass diese Tastaturen nur dann auf das Internet zugreifen können, wenn Sie dies ausdrücklich zulassen. Alle Tastaturen unter Android können jetzt auf das Internet zugreifen.

Android App Berechtigungen wurden gebrochen, jedenfalls

App-Berechtigungssystem von Android war bereits defekt. Es ist weniger ein Berechtigungssystem und eher ein Nachfragesystem. Eine App verlangt, dass bestimmte Funktionen benötigt werden, und Sie können es nehmen oder verlassen. Sie können nicht auswählen, ob Sie einer App bestimmte Berechtigungen erteilen möchten, andere jedoch nicht. Android hatte tatsächlich einen integrierten Berechtigungsmanager, an dem gerade gearbeitet wurde, aber Google entfernte es. Jetzt können nur Personen, die ihre Geräte rooten und das Xposed Framework verwenden, um die App Ops-Funktion wiederzuerlangen oder benutzerdefinierte ROMs wie CyanogenMod zu installieren, App-Berechtigungen verwalten. Typische Android-Nutzer sind machtlos.

Ein Großteil des App-Berechtigungssystems von Android wurde gerade bedeutungslos gemacht. Warum brauchen Sie überhaupt ein feingranulares Berechtigungssystem, bei dem Entwickler Zugriff auf das Internet und individuelle Berechtigungen wie "SMS-Nachrichten lesen" anfordern müssen? Google kann Android-App-Berechtigungen auch vollständig wiederherstellen und Apps stattdessen den Zugriff auf Gruppen von Berechtigungen anfordern. Zumindest würden sie uns kein falsches Gefühl der Sicherheit geben!

VERWANDTE ARTIKEL
Androids Permissions System ist kaputt und Google hat es nur schlimmer gemacht
Wie man den Zugang zu App Ops in Android 4.4.2+ wiederherstellt

Und die ganze Zeit hat Apples iOS ein funktionales Berechtigungssystem, das den Benutzern die Kontrolle gibt.

Nein, das ist kein Angriff auf Android von einem Apple-Fanboy. Ich liebe Android und benutze ein Nexus 4 als Smartphone, aber ich glaube daran, Benutzern die Macht zu geben. Android-Nutzer sollten auswählen können, welche Apps SMS senden können oder ob Kamera-Apps Audio aufnehmen können. Jetzt können wir nicht nur Berechtigungen kontrollieren, ohne ein eigenes ROM zu rooten oder zu installieren, das neue Berechtigungssystem gibt uns noch weniger Energie.

Dank iamtubeman auf Reddit, um dieses wichtige Thema zu erkunden und zu testen. Googles Erklärung der neuen vereinfachten App-Berechtigungen von Android finden Sie hier.