20Jul
Google ha apportato un enorme cambiamento al modo in cui le autorizzazioni delle app funzionano su Android. Le app già presenti sul dispositivo ora possono ottenere autorizzazioni pericolose con gli aggiornamenti automatici. Le app future possono ottenere permessi pericolosi senza chiedere anche a te.
Tutto questo grazie all'ultimo aggiornamento di Play Store e alla sua interfaccia semplificata per l'autorizzazione delle app. L'idea centrale qui - rendere le autorizzazioni delle app Android comprensibili agli utenti normali - è buona. L'implementazione è il grosso problema. Le app
ora possono aggiungere permessi senza chiedere all'utente
Google Play ora raggruppa le autorizzazioni delle app in gruppi di permessi correlati. Ad esempio, un'app che vuole leggere i tuoi messaggi SMS in arrivo richiederà l'autorizzazione "Leggi i messaggi SMS".Quando lo installi tramite il Play Store, lo vedrai chiedere il gruppo di autorizzazioni "SMS".
Installa l'app e gli stai dando accesso a tutte le autorizzazioni relative agli SMS.L'app ora può essere aggiornata automaticamente e avere la possibilità di inviare messaggi SMS senza chiederti.
Sul tuo dispositivo ci sono app che ti piace leggere i messaggi SMS, ma non inviarli? Quelle app ora possono ottenere la possibilità di inviare messaggi SMS senza che tu ti chieda - tutto ciò che lo sviluppatore deve fare è aggiornare l'app.
L'unico modo per evitare che ciò accada è disattivare gli aggiornamenti automatici e verificare manualmente le autorizzazioni delle app ogni volta che un'app vuole aggiornarle, come se fosse una soluzione ragionevole! Se lo fai, finirai anche per utilizzare versioni obsolete delle app, che è un altro problema di sicurezza. I gruppi di autorizzazione
contengono autorizzazioni sia sicure che pericolose
Il grosso problema è che i gruppi possono contenere sia permessi di base normali che autorizzazioni più pericolose. Ad esempio:
- Posizione : un'app che richiede la tua posizione approssimativa, basata sulla rete, può ora ottenere l'autorizzazione per tracciare la tua posizione esatta con il GPS del tuo dispositivo.
- SMS : Un'app che deve solo ricevere messaggi di testo ora può ottenere il permesso di inviare messaggi SMS in background, potenzialmente a costo di denaro.
- Phone : Un'app che richiede di leggere il registro delle chiamate ora può ottenere l'autorizzazione per reindirizzare le chiamate in uscita e effettuare chiamate telefoniche senza chiedere informazioni all'utente. Foto
- File /Media/ : Un'app che deve leggere il contenuto della memoria USB o della scheda SD ora può formattare l'intero dispositivo di archiviazione esterno.
- Fotocamera / Microfono : Un'app che ha il permesso di scattare foto e video( ad esempio un'app Fotocamera) può ora ottenere il permesso di registrare l'audio. L'app può ascoltarti quando usi altre app o quando lo schermo del tuo dispositivo è spento.
Ti verrà chiesto di confermare quando un'applicazione richiede un nuovo gruppo di permessi. Se hai già concesso l'accesso a una singola autorizzazione da un gruppo, tutte le scommesse sono disattivate e l'app può ottenere tutte le autorizzazioni in quel gruppo.
Enorme quantità di app Android richiede già più permessi del necessario, e ora a quelle app sono state concesse anche più autorizzazioni di cui non hanno bisogno!
Ogni app ottiene l'accesso a Internet
Google ha anche fornito ad ogni app l'accesso a Internet, rimuovendo in modo efficace l'autorizzazione di accesso a Internet. Oh, certo, gli sviluppatori Android devono ancora dichiarare di volere l'accesso a Internet quando mettono insieme l'app. Tuttavia, gli utenti non possono più vedere il permesso di accesso a Internet quando installano un'app e le app attuali che non dispongono di accesso a Internet possono ora ottenere l'accesso a Internet con un aggiornamento automatico senza chiedere conferma all'utente.
Certo, molte app necessitano di un accesso a Internet in questi giorni, ma non tutte.È possibile che si desideri utilizzare una carta da parati dal vivo, una torcia elettrica o un'applicazione per tastiera senza fornire accesso a Internet. In effetti, una delle funzionalità di sicurezza per le tastiere di terze parti in iOS 8 di Apple è che quelle tastiere non possono accedere a Internet a meno che non le consenta espressamente. Tutte le tastiere su Android ora possono accedere a Internet. Le autorizzazioni delle app Android
sono state interrotte, in ogni caso
Il sistema di autorizzazione delle app di Android diera già rotto.È meno di un sistema di autorizzazione e più di un sistema di domanda. Un'app richiede che siano necessarie determinate funzionalità e che tu possa prenderle o lasciarle. Non puoi scegliere se vuoi dare a un'app alcune autorizzazioni ma non altre. In realtà, Android aveva un gestore dei permessi incorporato su cui si stava lavorando, ma Google lo ha rimosso. Ora solo le persone che eseguono il root dei dispositivi e utilizzano Xposed Framework per riacquisire la funzione App Ops o installare ROM personalizzate come CyanogenMod possono gestire i permessi delle app. Gli utenti Android tipici sono rimasti impotenti.
Gran parte del sistema di autorizzazione delle app di Android è stato appena reso privo di significato. Perché preoccuparsi anche di avere un sistema di autorizzazioni a grana fine in cui gli sviluppatori devono richiedere l'accesso a Internet e alle autorizzazioni individuali come "leggere i messaggi SMS"?Google potrebbe anche ripetere completamente le autorizzazioni delle app Android e fare in modo che le app richiedano l'accesso ai gruppi di permessi. Almeno non ci avrebbero dato un falso senso di sicurezza!
E per tutto il tempo, iOS di Apple ha un sistema di permessi funzionali che fornisce agli utenti il controllo.
No, questo non è un assalto su Android da un fanboy di Apple. Adoro Android e uso un Nexus 4 come smartphone, ma credo nel dare potere agli utenti. Gli utenti Android dovrebbero essere in grado di scegliere quali applicazioni possono inviare messaggi SMS o se le app della fotocamera possono registrare l'audio. Ora, non solo non possiamo controllare le autorizzazioni senza il rooting o l'installazione di una ROM personalizzata, il nuovo sistema di autorizzazione ci dà ancora meno energia.
Grazie a iamtubeman su Reddit per aver esplorato questo importante problema e averlo testato. La spiegazione di Google delle nuove autorizzazioni per app semplificate di Android può essere trovata qui.