20Jul
O Google apenas fez uma grande mudança na forma como as permissões do aplicativo funcionam no Android. As aplicações já existentes em seu dispositivo agora podem obter permissões perigosas com atualizações automáticas. Futuras aplicações podem obter permissões perigosas sem lhe perguntar também.
Isto é tudo graças à última atualização da Play Store e à sua interface de permissão de aplicativo simplificada. A idéia central aqui - tornar as permissões de aplicativos Android compreensíveis para usuários normais - é boa. A implementação é o grande problema. As aplicações
podem agora adicionar permissões sem pedir
O Google Play agora agrupa permissões de aplicativos em grupos de permissões relacionadas. Por exemplo, um aplicativo que deseja ler suas mensagens SMS recebidas exigirá a permissão "Ler mensagens SMS".Quando você instalá-lo através da Play Store, você verá pedir o grupo de permissão "SMS".
Instale o aplicativo e você está dando acesso a todas as permissões relacionadas ao SMS.O aplicativo agora pode atualizar automaticamente e ganhar a capacidade de enviar mensagens SMS sem lhe perguntar.
Você tem aplicativos no seu dispositivo que você confia para ler mensagens SMS, mas não enviá-las? Esses aplicativos agora podem ganhar a capacidade de enviar mensagens SMS sem o solicitar - tudo o que o desenvolvedor tem a fazer é atualizar o aplicativo.
A única maneira de evitar que isso aconteça é desativar as atualizações automáticas e verificar as permissões do aplicativo manualmente toda vez que um aplicativo deseja atualizar - como se fosse uma solução razoável! Se você fizer isso, você também acabará usando versões desatualizadas de aplicativos, o que é outro problema de segurança.
Os grupos de permissão contêm permissões seguras e perigosas
O grande problema é que os grupos podem conter permissões normais, básicas e permissões mais perigosas. Por exemplo:
- Localização : Um aplicativo que solicita sua localização aproximada baseada em rede agora pode obter permissão para rastrear sua localização exata com o GPS do seu dispositivo.
- SMS : Um aplicativo que só precisa receber mensagens de texto agora pode obter a permissão para enviar mensagens SMS em segundo plano, o que pode custar-lhe dinheiro.
- Telefone : Um aplicativo que pede para ler seu registro de chamadas agora pode obter permissão para redirecionar as chamadas de saída e fazer chamadas telefônicas sem lhe perguntar.
- Fotos /Media/ Arquivos : Um aplicativo que precisa ler o conteúdo do seu armazenamento USB ou cartão SD agora pode formatar todo o seu dispositivo de armazenamento externo.
- Câmera / microfone : Um aplicativo que possui permissão para tirar fotos e vídeos( por exemplo, um aplicativo de câmera) agora pode obter permissão para gravar áudio. O aplicativo pode ouvi-lo quando você usa outros aplicativos ou quando a tela do seu dispositivo está desligada.
Você será solicitado a confirmar quando um aplicativo requer um novo grupo de permissões. Se você já concedeu acesso a uma única permissão de um grupo, todas as apostas estão desligadas e o aplicativo pode obter todas as permissões nesse grupo.
Grandes quantidades de aplicativos para Android já pedem mais permissões do que eles precisam, e agora essas aplicações receberam ainda mais permissões que não precisam!
Cada aplicativo obtém acesso à Internet
O Google também forneceu acesso a internet a cada aplicativo, efetivamente removendo a permissão de acesso à Internet. Claro, os desenvolvedores de Android ainda precisam declarar que querem acesso à Internet ao montar o aplicativo. Mas os usuários não podem mais ver a permissão de acesso à Internet ao instalar um aplicativo e os aplicativos atuais que não possuem acesso à Internet agora podem ganhar acesso à Internet com uma atualização automática sem o solicitar.
Claro, a maioria dos aplicativos precisa de acesso à Internet hoje em dia, mas não todos eles. Você pode querer usar um papel de parede ao vivo, uma lanterna ou um aplicativo de teclado sem dar-lhe acesso à Internet. Na verdade, um dos recursos de segurança para teclados de terceiros no iOS 8 da Apple é que esses teclados não podem acessar a Internet, a menos que você os permita especificamente. Todos os teclados no Android agora podem acessar a Internet.
Permissões de aplicativos de Android foram quebradas, de qualquer forma
O sistema de permissão de aplicativo do Androidjá estava quebrado.É menos um sistema de permissão e mais um sistema de demanda. Um aplicativo exige que ele exija determinados recursos, e você pode levá-lo ou deixá-lo. Você não pode escolher se deseja dar um aplicativo algumas permissões, mas não outras. O Android realmente tinha um gerenciador de permissões embutido que estava sendo trabalhado, mas o Google o removeu. Agora, apenas as pessoas que criam seus dispositivos e usam o Xposed Framework para recuperar o recurso App Ops ou instalar ROMs personalizadas, como o CyanogenMod, podem gerenciar as permissões do aplicativo. Usuários típicos do Android são deixados impotentes.
Muito do sistema de permissão de aplicativos do Android acaba de ser feito sem sentido. Por que mesmo incomodar ter um sistema de permissão fino, onde os desenvolvedores precisam solicitar acesso à Internet e a permissões individuais como "ler mensagens SMS"?O Google apenas pode rever as permissões de aplicativos para Android inteiramente e fazer aplicativos solicitarem acesso a grupos de permissões em vez disso. Pelo menos, eles não nos dariam uma falsa sensação de segurança!
E, ao mesmo tempo, o iOS da Apple possui um sistema de permissão funcional que dá controle aos usuários.
Não, isso não é um assalto ao Android de um fanboy da Apple. Adoro o Android e uso um Nexus 4 como um smartphone, mas acredito em dar aos usuários poder. Os usuários do Android devem poder escolher quais aplicativos podem enviar mensagens SMS ou se as aplicações da câmera podem gravar áudio. Agora, não só não podemos controlar as permissões sem rootear ou instalar uma ROM personalizada, o novo sistema de permissão nos dá ainda menos energia.
Obrigado iamtubeman no Reddit por explorar esta importante questão e testá-la. A explicação do Google sobre as novas permissões de aplicativos simplificados do Android pode ser encontrada aqui.