Google právě provedl obrovskou změnu ve způsobu fungování oprávnění aplikací v systému Android. Aplikace, které jsou již ve vašem zařízení, mohou nyní díky automatickým aktualizacím získat nebezpečná oprávnění. Budoucí aplikace mohou získat nebezpečná oprávnění, aniž by se vás také ptaly.
To vše díky nejnovější aktualizaci Play Store a jeho zjednodušenému rozhraní oprávnění aplikace. Základní myšlenka zde - zpřístupnění oprávnění aplikace pro Android běžným uživatelům - je dobrá. Velkým problémem je implementace.
Aplikace nyní mohou přidávat oprávnění, aniž by vás žádaly
Google Play nyní seskupuje oprávnění aplikací do skupin souvisejících oprávnění. Například aplikace, která chce číst vaše příchozí SMS zprávy, bude vyžadovat oprávnění „Číst SMS zprávy“. Když si jej nainstalujete přes Obchod Play, uvidíte, že žádá o skupinu oprávnění „SMS“.
Nainstalujte si aplikaci a dáváte jí přístup ke všem oprávněním souvisejícím se zprávami SMS. Aplikace se nyní může automaticky aktualizovat a získat schopnost odesílat zprávy SMS, aniž by se vás zeptala.
Máte ve svém zařízení aplikace, kterým důvěřujete, že čtou zprávy SMS, ale neposíláte je? Tyto aplikace nyní mohou získat možnost odesílat SMS zprávy bez výzvy - vývojář musí aplikaci pouze aktualizovat.
Jediným způsobem, jak tomu zabránit, je zakázat automatické aktualizace a ručně ověřovat oprávnění aplikace pokaždé, když se aplikace chce aktualizovat - jako by to bylo rozumné řešení! Pokud to uděláte, budete také používat zastaralé verze aplikací, což je další bezpečnostní problém.
Skupiny oprávnění obsahují bezpečná i nebezpečná oprávnění
Velkým problémem je, že skupiny mohou obsahovat jak normální, základní oprávnění, tak i nebezpečnější oprávnění. Například:
- Umístění : Aplikace, která požaduje vaši přibližnou polohu v síti, nyní může získat povolení ke sledování vaší přesné polohy pomocí GPS vašeho zařízení.
- SMS : Aplikace, která potřebuje pouze přijímat textové zprávy, nyní může získat oprávnění k odesílání zpráv SMS na pozadí, což vás může stát peníze.
- Telefon : Aplikace, která požádá o přečtení vašeho protokolu hovorů, nyní může získat oprávnění k přesměrování odchozích hovorů a telefonování, aniž by se vás zeptala.
- Fotografie / Média / Soubory : Aplikace, která potřebuje číst obsah vašeho úložiště USB nebo SD karty, může nyní naformátovat celé vaše externí úložné zařízení.
- Fotoaparát / mikrofon : Aplikace, která má oprávnění pořizovat fotografie a videa (například aplikace pro fotoaparáty), nyní může získat oprávnění k záznamu zvuku. Aplikace vás může poslouchat, když používáte jiné aplikace nebo když je obrazovka vašeho zařízení vypnutá.
Budete požádáni o potvrzení, když aplikace vyžaduje novou skupinu oprávnění. Pokud jste již skupině udělili přístup k jednomu oprávnění, jsou všechny sázky vypnuté a aplikace může získat všechna oprávnění v dané skupině.
Obrovské množství aplikací pro Android již požaduje více oprávnění, než kolik potřebují, a nyní těmto aplikacím bylo uděleno ještě více oprávnění, která nepotřebují!
Každá aplikace získá přístup k internetu
Google také udělil každé aplikaci přístup k internetu, čímž účinně odstranil oprávnění k přístupu k internetu. Jistě, vývojáři Androidu musí při sestavování aplikace stále deklarovat, že chtějí přístup k internetu. Uživatelé však již při instalaci aplikace nemohou vidět oprávnění k přístupu na internet a aktuální aplikace, které nemají přístup k internetu, mohou nyní získat přístup k internetu pomocí automatické aktualizace bez zobrazení výzvy.
Jistě, většina aplikací dnes potřebuje přístup k internetu, ale ne všechny. Možná budete chtít použít živou tapetu, baterku nebo aplikaci na klávesnici, aniž byste jí poskytli přístup k internetu. Jednou z funkcí zabezpečení klávesnic třetích stran v systému iOS 8 společnosti Apple je, že tyto klávesnice nemají přístup k internetu, pokud jim to výslovně nedovolíte. Všechny klávesnice v systému Android mají nyní přístup k internetu.
Oprávnění aplikace pro Android byla každopádně porušena
Systém oprávnění aplikace pro Android byl již poškozený . Je to méně systému oprávnění a více systému poptávky. Aplikace vyžaduje, aby vyžadovala určité funkce, a vy ji můžete vzít nebo opustit. Nemůžete si vybrat, zda chcete aplikaci udělit určitá oprávnění, ale jiným ne. Android měl ve skutečnosti zabudovaného správce oprávnění, na kterém se pracovalo, ale Google jej odstranil. Nyní pouze lidé, kteří rootují svá zařízení a použijte Xposed Framework k opětovnému získání funkce App Ops nebo nainstalujte vlastní ROM, jako je CyanogenMod může spravovat oprávnění aplikace. Typičtí uživatelé Androidu zůstávají bezmocní.
Velká část systému oprávnění aplikací pro Android byla právě zbytečná. Proč se vůbec obtěžovat s jemným systémem oprávnění, kde vývojáři musí vyžadovat přístup k internetu a jednotlivým oprávněním, jako jsou „číst zprávy SMS“? Google by také mohl úplně předělat oprávnění aplikací pro Android a nechat aplikace místo toho požadovat přístup ke skupinám oprávnění. Přinejmenším by nám nedali falešný pocit bezpečí!
PŘÍBUZNÝ: Systém oprávnění systému Android je nefunkční a Google to jen zhoršil
A celou tu dobu IOS společnosti Apple má funkční systém oprávnění, který dává uživatelům kontrolu .
Ne, nejedná se o útok na Android od fanouška Apple. Miluji Android a používám Nexus 4 jako smartphone, ale věřím, že poskytnu uživatelům sílu. Uživatelé Androidu by měli mít možnost zvolit si, které aplikace mohou posílat SMS zprávy nebo zda mohou aplikace fotoaparátu zaznamenávat zvuk. Nyní nejen že nemůžeme ovládat oprávnění bez zakořenění nebo instalace vlastní ROM, nový systém oprávnění nám dává ještě méně energie.
Díky iamtubeman na Redditu za prozkoumání tohoto důležitého problému a jeho testování. Vysvětlení Googlu ohledně nových zjednodušených oprávnění aplikací pro Android lze nalézt tady .
