20Jul
Google acaba de hacer un gran cambio en la forma en que los permisos de la aplicación funcionan en Android. Las aplicaciones que ya están en su dispositivo ahora pueden obtener permisos peligrosos con actualizaciones automáticas. Las aplicaciones futuras también pueden obtener permisos peligrosos sin pedírselo.
Esto es todo gracias a la última actualización de Play Store y su interfaz simplificada de permiso de la aplicación. La idea central aquí - hacer que los permisos de aplicaciones de Android sean comprensibles para los usuarios normales - es buena. La implementación es el gran problema. Las aplicaciones
ahora pueden agregar permisos sin pedírselo
Google Play ahora agrupa los permisos de las aplicaciones en grupos de permisos relacionados. Por ejemplo, una aplicación que quiera leer sus mensajes SMS entrantes requerirá el permiso "Leer mensajes SMS".Cuando lo instales a través de Play Store, lo verás pidiendo el grupo de permisos "SMS".
Instala la aplicación y le estás dando acceso a todos los permisos relacionados con SMS.La aplicación ahora puede actualizar automáticamente y obtener la capacidad de enviar mensajes SMS sin preguntarte.
¿Tiene aplicaciones en su dispositivo en las que confíe para leer mensajes SMS, pero no para enviarlos? Esas aplicaciones ahora pueden obtener la capacidad de enviar mensajes SMS sin necesidad de avisarle; todo lo que el desarrollador tiene que hacer es actualizar la aplicación.
La única manera de evitar que esto ocurra es deshabilitar las actualizaciones automáticas y verificar los permisos de la aplicación de forma manual cada vez que una aplicación quiera actualizar, ¡como si esa fuera una solución razonable! Si hace esto, también terminará utilizando versiones obsoletas de las aplicaciones, que es otro problema de seguridad.
Los grupos de permisos contienen permisos seguros y peligrosos
El gran problema es que los grupos pueden contener permisos normales y básicos, así como permisos más peligrosos. Por ejemplo:
- Ubicación : una aplicación que solicita su ubicación aproximada basada en la red ahora puede obtener permiso para rastrear su ubicación exacta con el GPS de su dispositivo.
- SMS : una aplicación que solo necesita recibir mensajes de texto ahora puede obtener el permiso para enviar mensajes SMS en segundo plano, lo que puede costarle dinero.
- Phone : una aplicación que solicita leer su registro de llamadas ahora puede obtener permiso para redirigir llamadas salientes y realizar llamadas telefónicas sin preguntarle.
- Fotos /Media/ Archivos : una aplicación que necesita leer el contenido de su almacenamiento USB o tarjeta SD ahora puede formatear todo su dispositivo de almacenamiento externo. Cámara
- / Micrófono : una aplicación que tiene permiso para tomar fotos y videos( por ejemplo, una aplicación de cámara) ahora puede obtener el permiso para grabar audio. La aplicación podría escucharte cuando uses otras aplicaciones o cuando la pantalla de tu dispositivo esté apagada.
Se le pedirá que confirme cuándo una aplicación requiere un nuevo grupo de permisos. Si ya ha otorgado acceso a un solo permiso de un grupo, todas las apuestas están desactivadas y la aplicación puede obtener todos los permisos de ese grupo.
¡Grandes cantidades de aplicaciones de Android ya solicitan más permisos de los que necesitan, y ahora esas aplicaciones tienen aún más permisos que no necesitan!
Cada aplicación obtiene acceso a Internet
Google también le ha dado acceso a Internet a cada aplicación, eliminando efectivamente el permiso de acceso a Internet. Oh, claro, los desarrolladores de Android todavía tienen que declarar que quieren acceso a Internet al armar la aplicación. Pero los usuarios ya no pueden ver el permiso de acceso a Internet cuando instalan una aplicación y las aplicaciones actuales que no tienen acceso a Internet ahora pueden obtener acceso a Internet con una actualización automática sin necesidad de avisarle.
Claro, la mayoría de las aplicaciones necesitan acceso a Internet actualmente, pero no todas. Es posible que desee utilizar un fondo de pantalla en vivo, una linterna o una aplicación de teclado sin darle acceso a Internet. De hecho, una de las características de seguridad para teclados de terceros en iOS 8 de Apple es que esos teclados no pueden acceder a Internet a menos que usted lo permita específicamente. Todos los teclados en Android ahora pueden acceder a Internet. Los permisos de la aplicación Android
estaban rotos, de todos modos
El sistema de permisos de aplicaciones de Android ya estaba roto. Es menos un sistema de permisos y más un sistema de demanda. Una aplicación exige que requiera ciertas características, y puede tomarla o dejarla. No puede elegir si desea otorgar a una aplicación algunos permisos, pero no otros. Android en realidad tenía un administrador de permisos integrado en el que se estaba trabajando, pero Google lo eliminó.Ahora solo las personas que rootean sus dispositivos y usan Xposed Framework para recuperar la función App Ops o instalar ROM personalizadas como CyanogenMod pueden administrar los permisos de las aplicaciones. Los usuarios típicos de Android se quedan sin poder.
Gran parte del sistema de permisos de aplicaciones de Android acaba de tener sentido.¿Por qué molestarse en tener un sistema de permisos detallado donde los desarrolladores tienen que solicitar acceso a Internet y a permisos individuales como "leer mensajes SMS"?Google también podría rehacer completamente los permisos de la aplicación Android y hacer que las aplicaciones soliciten acceso a grupos de permisos.¡Al menos no nos darían una falsa sensación de seguridad!
Y a la vez, el iOS de Apple tiene un sistema funcional de permisos que les da control a los usuarios.
No, esto no es un asalto a Android de un fanboy de Apple. Me encanta Android y uso un Nexus 4 como teléfono inteligente, pero creo en dar poder a los usuarios. Los usuarios de Android deberían poder elegir qué aplicaciones pueden enviar mensajes SMS o si las aplicaciones de la cámara pueden grabar audio. Ahora, no solo no podemos controlar los permisos sin enrutar o instalar una ROM personalizada, el nuevo sistema de permisos nos da aún menos poder.
Gracias a iamtubeman en Reddit por explorar este importante tema y probarlo. La explicación de Google de los nuevos permisos de aplicación simplificados de Android se puede encontrar aquí.