20Jul

Les autorisations des applications Android ont été simplifiées - elles sont maintenant beaucoup moins sécurisées

Google vient de faire un énorme changement dans la façon dont les autorisations d'applications fonctionnent sur Android. Les applications déjà installées sur votre appareil peuvent désormais obtenir des autorisations dangereuses avec des mises à jour automatiques. Les applications futures peuvent obtenir des autorisations dangereuses sans vous demander également.

Tout cela grâce à la dernière mise à jour du Play Store et à son interface d'autorisation d'application simplifiée. L'idée principale ici - rendre les autorisations de l'application Android compréhensibles pour les utilisateurs normaux - est bonne. La mise en œuvre est le gros problème. Les applications

peuvent désormais ajouter des autorisations sans vous demander

Google Play regroupe désormais les autorisations des applications dans des groupes d'autorisations connexes. Par exemple, une application qui souhaite lire vos SMS entrants aura besoin de l'autorisation "Lire les SMS".Lorsque vous l'installez via le Play Store, vous le voyez demander le groupe d'autorisations "SMS".

Installez l'application et vous lui donnez accès à toutes les autorisations liées aux SMS.L'application peut maintenant mettre à jour automatiquement et acquérir la capacité d'envoyer des messages SMS sans vous demander.

Avez-vous des applications sur votre appareil auxquelles vous faites confiance pour lire des messages SMS, mais pas pour les envoyer? Ces applications peuvent maintenant acquérir la capacité d'envoyer des messages SMS sans vous demander - tout ce que le développeur a à faire est de mettre à jour l'application.

La seule façon d'empêcher cela est de désactiver les mises à jour automatiques et de vérifier manuellement les permissions des applications chaque fois qu'une application veut mettre à jour - comme si c'était une solution raisonnable! Si vous faites cela, vous finirez également par utiliser des versions obsolètes d'applications, ce qui constitue un autre problème de sécurité.

Les groupes d'autorisations contiennent à la fois des autorisations sécurisées et dangereuses

Le gros problème est que les groupes peuvent contenir à la fois des autorisations de base normales et des autorisations plus dangereuses. Par exemple:

  • Emplacement : Une application qui vous demande votre emplacement réseau approximatif peut désormais obtenir l'autorisation de suivre votre position exacte avec le GPS de votre appareil.
  • SMS : Une application qui a seulement besoin de recevoir des messages texte peut maintenant obtenir l'autorisation d'envoyer des messages SMS en arrière-plan, ce qui peut vous coûter de l'argent.
  • Téléphone : Une application qui demande à lire votre journal des appels peut maintenant obtenir l'autorisation de réacheminer les appels sortants et passer des appels téléphoniques sans vous demander.
  • Photos /Media/ Fichiers : Une application qui a besoin de lire le contenu de votre stockage USB ou carte SD peut désormais formater l'ensemble de votre périphérique de stockage externe.
  • Appareil photo / microphone : Une application qui a la permission de prendre des photos et des vidéos( par exemple, une application de caméra) peut maintenant obtenir la permission d'enregistrer de l'audio. L'application peut vous écouter lorsque vous utilisez d'autres applications ou lorsque l'écran de votre appareil est éteint.

Vous serez invité à confirmer lorsqu'une application nécessite un nouveau groupe d'autorisations. Si vous avez déjà accordé l'accès à une seule autorisation d'un groupe, tous les paris sont désactivés et l'application peut obtenir toutes les autorisations de ce groupe.

D'énormes quantités d'applications Android demandent déjà plus d'autorisations qu'elles n'en ont besoin, et maintenant ces applications ont reçu plus d'autorisations dont elles n'ont pas besoin!

Chaque application obtient accès à Internet

Google a également donné accès à chaque application Internet, supprimant effectivement l'autorisation d'accès Internet. Oh, bien sûr, les développeurs Android doivent encore déclarer qu'ils veulent un accès Internet lors de la création de l'application. Mais les utilisateurs ne peuvent plus voir l'autorisation d'accès à Internet lors de l'installation d'une application et les applications actuelles qui n'ont pas accès à Internet peuvent désormais accéder à Internet avec une mise à jour automatique sans vous y inviter.

Bien sûr, la plupart des applications ont besoin d'un accès Internet de nos jours, mais pas toutes. Vous pouvez utiliser un fond d'écran en direct, une lampe de poche ou une application clavier sans lui donner accès à Internet. En fait, l'une des fonctionnalités de sécurité pour les claviers tiers dans iOS 8 d'Apple est que ces claviers ne peuvent pas accéder à Internet à moins que vous ne les autorisiez spécifiquement. Tous les claviers sur Android peuvent désormais accéder à Internet.

Android App autorisations ont été brisées, de toute façon

Le système d'autorisation d'application d'

Android était déjà cassé.C'est moins un système de permission et plus d'un système de demande. Une application exige qu'elle nécessite certaines fonctionnalités, et vous pouvez le prendre ou le quitter. Vous ne pouvez pas choisir si vous souhaitez accorder à une application certaines autorisations, mais pas d'autres. Android avait en fait un gestionnaire d'autorisations intégré sur lequel on travaillait, mais Google l'a supprimé.Désormais, seules les personnes qui rootent leurs appareils et utilisent Xposed Framework pour récupérer la fonctionnalité App Ops ou installer des ROM personnalisées comme CyanogenMod peuvent gérer les autorisations d'application. Les utilisateurs Android typiques sont laissés impuissants.

Une grande partie du système d'autorisation d'application d'Android vient de perdre toute signification. Pourquoi même s'embêter à avoir un système d'autorisation à grain fin où les développeurs doivent demander l'accès à Internet et aux autorisations individuelles comme "lire les messages SMS"?Google pourrait tout aussi bien refaire entièrement les autorisations de l'application Android et permettre aux applications de demander l'accès à des groupes d'autorisations à la place. Au moins, ils ne nous donneraient pas un faux sentiment de sécurité!

ARTICLES CONNEXES
Système d'autorisations d'Android est cassé et Google vient de le faire pire
Comment restaurer l'accès aux applications App sous Android 4.4.2+

Et tout le temps, Apple iOS a un système d'autorisation fonctionnelle qui donne le contrôle des utilisateurs.

Non, ce n'est pas une agression sur Android d'un fanboy d'Apple. J'aime Android et utiliser un Nexus 4 comme un smartphone, mais je crois en donnant aux utilisateurs le pouvoir. Les utilisateurs d'Android devraient être en mesure de choisir quelles applications peuvent envoyer des messages SMS ou si les applications de caméra peuvent enregistrer de l'audio. Maintenant, non seulement nous ne pouvons pas contrôler les permissions sans enraciner ou installer une ROM personnalisée, mais le nouveau système d'autorisation nous donne encore moins de puissance.

Merci à iamtubeman sur Reddit d'avoir exploré ce problème important et de l'avoir testé.L'explication de Google sur les nouvelles autorisations d'applications simplifiées d'Android peut être trouvée ici.