Google은 Android에서 앱 권한이 작동하는 방식을 크게 변경했습니다. 기기에 이미있는 앱은 이제 자동 업데이트를 통해 위험한 권한을 얻을 수 있습니다. 향후 앱도 사용자에게 묻지 않고 위험한 권한을 얻을 수 있습니다.
이는 최신 Play 스토어 업데이트와 간소화 된 앱 권한 인터페이스 덕분입니다. 여기서 핵심 아이디어는 일반 사용자가 Android 앱 권한을 이해할 수 있도록하는 것입니다. 구현이 큰 문제입니다.
앱은 이제 사용자에게 묻지 않고 권한을 추가 할 수 있습니다.
이제 Google Play는 앱 권한을 관련 권한 그룹으로 그룹화합니다. 예를 들어 수신 SMS 메시지를 읽으려는 앱에는 "SMS 메시지 읽기"권한이 필요합니다. Play 스토어를 통해 설치하면 'SMS'권한 그룹을 요청하는 메시지가 표시됩니다.
앱을 설치하면 모든 SMS 관련 권한에 액세스 할 수 있습니다. 이제 앱이 자동으로 업데이트되고 사용자에게 묻지 않고 SMS 메시지를 보낼 수있는 기능을 얻을 수 있습니다.
SMS 메시지를 읽을 수 있지만 보내지는 않는 앱이 기기에 있습니까? 이제 이러한 앱은 사용자에게 메시지를 표시하지 않고 SMS 메시지를 보낼 수있는 기능을 얻을 수 있습니다. 개발자는 앱을 업데이트하기 만하면됩니다.
이를 방지하는 유일한 방법은 자동 업데이트를 비활성화하고 앱이 업데이트하려고 할 때마다 앱 권한을 수동으로 확인하는 것입니다. 마치 합리적인 해결책 인 것처럼 말입니다. 이렇게하면 이전 버전의 앱도 사용하게되며 이는 또 다른 보안 문제입니다.
권한 그룹에는 안전 및 위험한 권한이 모두 포함되어 있습니다.
큰 문제는 그룹이 일반, 기본 권한과 더 위험한 권한을 모두 포함 할 수 있다는 것입니다. 예를 들면 :
- 위치 : 대략적인 네트워크 기반 위치를 묻는 앱이 이제 기기의 GPS로 정확한 위치를 추적 할 수있는 권한을 얻을 수 있습니다.
- SMS : 문자 메시지 만 받기만하면되는 앱이 이제 백그라운드에서 SMS 메시지를 보낼 수있는 권한을 얻을 수 있으므로 비용이 발생할 수 있습니다.
- 전화 : 통화 기록을 읽도록 요청하는 앱이 이제 사용자에게 묻지 않고 발신 전화를 다시 라우팅하고 전화를 걸 수있는 권한을 얻을 수 있습니다.
- 사진 / 미디어 / 파일 : USB 저장소 또는 SD 카드의 콘텐츠를 읽어야하는 앱이 이제 전체 외부 저장 장치를 포맷 할 수 있습니다.
- 카메라 / 마이크 : 사진 및 동영상 촬영 권한이있는 앱 (예 : 카메라 앱)이 이제 오디오 녹음 권한을 얻을 수 있습니다. 다른 앱을 사용하거나 기기의 화면이 꺼져있을 때 앱이 사용자의 말을들을 수 있습니다.
앱에 새로운 권한 그룹이 필요한 경우 확인하라는 메시지가 표시됩니다. 그룹의 단일 권한에 대한 액세스 권한을 이미 부여한 경우 모든 베팅이 해제되고 앱이 해당 그룹의 모든 권한을 얻을 수 있습니다.
엄청난 양의 Android 앱이 이미 필요한 것보다 더 많은 권한을 요청하고 있으며 이제 이러한 앱에 필요하지 않은 권한이 더 많이 부여되었습니다.
모든 앱에 인터넷 액세스 가능
Google은 또한 각 앱에 인터넷 액세스 권한을 부여하여 인터넷 액세스 권한을 효과적으로 제거했습니다. 물론 안드로이드 개발자들은 앱을 구성 할 때 인터넷 액세스를 원한다고 선언해야합니다. 그러나 사용자는 앱을 설치할 때 더 이상 인터넷 액세스 권한을 볼 수 없으며 인터넷에 액세스 할 수없는 현재 앱은 이제 메시지를 표시하지 않고 자동 업데이트를 통해 인터넷 액세스 권한을 얻을 수 있습니다.
물론 요즘 대부분의 앱은 인터넷 액세스가 필요하지만 전부는 아닙니다. 인터넷 액세스를 제공하지 않고 라이브 배경 화면, 손전등 또는 키보드 앱을 사용할 수 있습니다. 실제로 Apple iOS 8의 타사 키보드 보안 기능 중 하나는 특별히 허용하지 않는 한 해당 키보드가 인터넷에 액세스 할 수 없다는 것입니다. 이제 Android의 모든 키보드에서 인터넷에 액세스 할 수 있습니다.
어쨌든 Android 앱 권한이 손상되었습니다.
Android의 앱 권한 시스템은 이미 고장났습니다. . 권한 시스템이 아니라 수요 시스템에 가깝습니다. 앱은 특정 기능이 필요하며 가져 가거나 떠날 수 있습니다. 앱에 일부 권한을 부여 할 것인지 다른 권한은 부여 할 것인지 선택할 수 없습니다. Android에는 실제로 작업중인 권한 관리자가 내장되어 있지만 Google은이를 제거했습니다. 이제 기기를 루팅하고 Xposed Framework를 사용하여 App Ops 기능을 다시 얻으십시오. 또는 CyanogenMod와 같은 맞춤형 ROM 설치 앱 권한을 관리 할 수 있습니다. 일반적인 Android 사용자는 무력합니다.
대부분의 Android 앱 권한 시스템이 무의미하게되었습니다. 개발자가 인터넷 및 "SMS 메시지 읽기"와 같은 개별 권한에 대한 액세스를 요청해야하는 세분화 된 권한 시스템을 갖는 이유는 무엇입니까? Google은 Android 앱 권한을 완전히 다시 실행하고 대신 앱이 권한 그룹에 대한 액세스를 요청하도록 할 수 있습니다. 적어도 그들은 우리에게 잘못된 보안 감각을주지 않을 것입니다!
관련 : 안드로이드의 권한 시스템이 망가졌고 구글이 더 나 빠졌다
그리고 그동안 Apple의 iOS에는 사용자에게 제어 권한을 부여하는 기능 권한 시스템이 있습니다. .
아니요, 이것은 Apple 팬보이의 Android 공격이 아닙니다. 저는 Android를 좋아하고 Nexus 4를 스마트 폰으로 사용하지만 사용자에게 힘을주는 것을 믿습니다. Android 사용자는 SMS 메시지를 보낼 수있는 앱 또는 카메라 앱이 오디오를 녹음 할 수 있는지 여부를 선택할 수 있어야합니다. 이제는 사용자 지정 ROM을 루팅하거나 설치하지 않고는 권한을 제어 할 수 없을뿐만 아니라 새로운 권한 시스템은 우리에게 더 적은 전력을 제공합니다.
덕분에 Reddit의 iamtubeman 이 중요한 문제를 탐색하고 테스트 해 주셔서 감사합니다. Android의 새로운 단순화 된 앱 권한에 대한 Google의 설명을 찾을 수 있습니다. 여기 .
