20Jul
Firma Google zmieniła sposób działania aplikacji na Androida. Aplikacje już na Twoim urządzeniu mogą teraz uzyskać niebezpieczne uprawnienia dzięki automatycznym aktualizacjom. Przyszłe aplikacje mogą uzyskać niebezpieczne uprawnienia również bez pytania.
To wszystko dzięki najnowszej aktualizacji Sklep Play i uproszczonemu interfejsowi uprawnień do aplikacji. Zasadniczy pomysł - uczynienie uprawnień aplikacji na Androida zrozumiałymi dla zwykłych użytkowników - jest dobry. Wdrożenie to duży problem. Aplikacje
mogą teraz dodawać uprawnienia bez pytania
Google Play teraz grupuje uprawnienia aplikacji w grupy powiązanych uprawnień.Na przykład aplikacja, która chce odczytać przychodzące wiadomości SMS, wymaga uprawnienia "Odczytaj wiadomości SMS".Gdy zainstalujesz go ze Sklepu Play, zobaczysz prośbę o grupę uprawnień "SMS".
Zainstaluj aplikację i dajesz mu dostęp do wszystkich uprawnień związanych z SMS-em. Aplikacja może teraz automatycznie aktualizować i zyskać możliwość wysyłania wiadomości SMS bez pytania.
Czy masz aplikacje na swoim urządzeniu, którym ufasz, że czytają wiadomości SMS, ale nie wysyłają ich? Te aplikacje mogą teraz uzyskać możliwość wysyłania wiadomości SMS bez pytania - wszystko, co musi zrobić programista, to zaktualizować aplikację.
Jedynym sposobem, aby temu zapobiec, jest wyłączenie automatycznych aktualizacji i ręczne weryfikowanie uprawnień aplikacji za każdym razem, gdy aplikacja chce ją zaktualizować - tak, jakby to było rozsądne rozwiązanie! Jeśli to zrobisz, skończy Ci się też używanie nieaktualnych wersji aplikacji, co jest kolejnym problemem związanym z bezpieczeństwem. Grupy uprawnień
zawierają zarówno bezpieczne, jak i niebezpieczne uprawnienia.
Dużym problemem jest to, że grupy mogą zawierać zarówno zwykłe, podstawowe uprawnienia, jak i bardziej niebezpieczne uprawnienia. Na przykład:
- Lokalizacja : aplikacja, która prosi o przybliżoną, opartą na sieci lokalizację, może teraz uzyskać pozwolenie na śledzenie Twojej dokładnej lokalizacji za pomocą GPS urządzenia.
- SMS : aplikacja, która tylko potrzebuje odbierać wiadomości tekstowe, może teraz uzyskać pozwolenie na wysyłanie wiadomości SMS w tle, potencjalnie kosztując cię pieniądze.
- Phone : Aplikacja, która prosi o odczytanie Twojego rejestru połączeń, może teraz uzyskać pozwolenie na przekierowanie połączeń wychodzących i wykonywanie połączeń telefonicznych bez pytania.
- Zdjęcia /Media/ Pliki : Aplikacja, która musi odczytać zawartość pamięci USB lub karty SD, może teraz sformatować całe zewnętrzne urządzenie pamięci.
- Aparat / Mikrofon : Aplikacja, która ma uprawnienia do robienia zdjęć i filmów( na przykład aplikacja aparatu fotograficznego), może teraz uzyskać uprawnienia do nagrywania dźwięku. Aplikacja może Cię słuchać, gdy korzystasz z innych aplikacji lub gdy ekran urządzenia jest wyłączony.
Zostaniesz poproszony o potwierdzenie, kiedy aplikacja wymaga nowej grupy uprawnień.Jeśli przyznałeś już dostęp do jednego pozwolenia z grupy, wszystkie zakłady są wyłączone, a aplikacja może uzyskać wszystkie uprawnienia w tej grupie.
Ogromne ilości aplikacji na Androida już wymagają więcej uprawnień, niż potrzebują, a teraz te aplikacje otrzymały jeszcze więcej uprawnień, których nie potrzebują!
Każda aplikacja uzyskuje dostęp do Internetu
Firma Google przyznała również każdej aplikacji dostęp do Internetu, skutecznie usuwając uprawnienia dostępu do Internetu. Och, oczywiście, programiści Androida wciąż muszą zadeklarować, że chcą mieć dostęp do Internetu podczas składania aplikacji. Jednak użytkownicy nie mogą już widzieć uprawnień dostępu do Internetu podczas instalowania aplikacji, a obecne aplikacje, które nie mają dostępu do Internetu, mogą teraz uzyskać dostęp do Internetu z automatyczną aktualizacją bez pytania.
Pewnie, większość aplikacji potrzebuje obecnie dostępu do Internetu, ale nie wszystkie. Możesz użyć tapety na żywo, latarki lub aplikacji na klawiaturę bez udostępniania jej w Internecie. W rzeczywistości jedną z funkcji zabezpieczeń dla klawiatur innych firm w systemie iOS 8 firmy Apple jest to, że te klawiatury nie mogą uzyskać dostępu do Internetu, chyba że użytkownik na to zezwoli. Wszystkie klawiatury na Androida mogą teraz uzyskać dostęp do Internetu.
Uprawnienia aplikacji na Androida zostały zerwane, w każdym razie
System uprawnień aplikacji Androida został już złamany. To mniej systemu uprawnień i więcej systemu popytu. Aplikacja wymaga, aby wymagała pewnych funkcji, i możesz ją wziąć lub ją opuścić.Nie możesz wybrać, czy chcesz nadać aplikacji pewne uprawnienia, ale nie inne. Android faktycznie miał wbudowany menedżer uprawnień, nad którym pracowano, ale Google go usunął.Teraz tylko użytkownicy, którzy rootują swoje urządzenia i korzystają z Xposed Framework, aby odzyskać funkcję App Ops lub zainstalować niestandardowe ROMy, takie jak CyanogenMod, mogą zarządzać uprawnieniami aplikacji. Typowi użytkownicy Androida są bezsilni.
Większość systemu uprawnień aplikacji dla Androida właśnie straciła sens. Po co zawracać sobie głowę drobnym systemem uprawnień, w którym programiści muszą prosić o dostęp do Internetu i o indywidualne uprawnienia, takie jak "czytaj SMS-y"?Google może równie dobrze przerobić uprawnienia aplikacji na Androida i sprawić, że aplikacje będą żądać dostępu do grup uprawnień.Przynajmniej nie dadzą nam fałszywego poczucia bezpieczeństwa!
A przez cały czas Apple iOS ma funkcjonalny system uprawnień, który daje użytkownikom kontrolę.
Nie, to nie jest napaść na Androida z fanboyem Apple. Uwielbiam Androida i używam Nexusa 4 jako smartfona, ale wierzę w dawanie użytkownikom mocy. Użytkownicy Androida powinni mieć możliwość wybrania, które aplikacje mogą wysyłać wiadomości SMS lub czy aplikacje aparatu mogą nagrywać dźwięk. Teraz, nie tylko nie możemy kontrolować uprawnień bez zrootowania lub instalacji niestandardowej pamięci ROM, nowy system uprawnień daje nam jeszcze mniej energii.
Dzięki iamtubeman na Reddit za zbadanie tego ważnego problemu i przetestowanie go. Wyjaśnienia Google dotyczące nowych uproszczonych uprawnień aplikacji na Androida można znaleźć tutaj.