Google heeft zojuist een enorme verandering aangebracht in de manier waarop app-machtigingen werken op Android. Apps die al op uw apparaat staan, kunnen nu gevaarlijke machtigingen krijgen met automatische updates. Toekomstige apps kunnen gevaarlijke machtigingen krijgen zonder u ook te vragen.
Dit is allemaal te danken aan de nieuwste Play Store-update en de vereenvoudigde app-toestemmingsinterface. Het kernidee hier - toestemmingen voor Android-apps begrijpelijk maken voor normale gebruikers - is goed. De implementatie is het grote probleem.
Apps kunnen nu machtigingen toevoegen zonder u te vragen
Google Play groepeert nu app-machtigingen in groepen gerelateerde machtigingen. Een app die bijvoorbeeld uw inkomende sms-berichten wil lezen, heeft de toestemming "Sms-berichten lezen" nodig. Wanneer je het via de Play Store installeert, zie je dat het om de toestemmingsgroep 'SMS' vraagt.
Installeer de app en je geeft hem toegang tot alle sms-gerelateerde machtigingen. De app kan nu automatisch worden bijgewerkt en de mogelijkheid krijgen om sms-berichten te verzenden zonder u te vragen.
Heeft u apps op uw apparaat die u vertrouwt om sms-berichten te lezen, maar deze niet te verzenden? Die apps kunnen nu de mogelijkheid krijgen om sms-berichten te verzenden zonder u daarom te vragen - het enige dat de ontwikkelaar hoeft te doen is de app bijwerken.
De enige manier om dit te voorkomen, is door automatische updates uit te schakelen en app-machtigingen handmatig te verifiëren telkens wanneer een app wil updaten - alsof dat een redelijke oplossing is! Als u dit doet, gebruikt u ook verouderde versies van apps, wat een ander beveiligingsprobleem is.
Machtigingsgroepen bevatten zowel veilige als gevaarlijke machtigingen
Het grote probleem is dat groepen zowel normale basisrechten als gevaarlijkere rechten kunnen bevatten. Bijvoorbeeld:
- Plaats : Een app die om uw geschatte netwerklocatie vraagt, kan nu toestemming krijgen om uw exacte locatie te volgen met de gps van uw apparaat.
- SMS : Een app die alleen sms-berichten hoeft te ontvangen, kan nu toestemming krijgen om sms-berichten op de achtergrond te verzenden, wat u mogelijk geld kan kosten.
- Telefoon : Een app die vraagt om uw oproeplogboek te lezen, kan nu toestemming krijgen om uitgaande oproepen om te leiden en te bellen zonder u te vragen.
- Foto's / media / bestanden : Een app die de inhoud van uw USB-opslag of SD-kaart moet lezen, kan nu uw volledige externe opslagapparaat formatteren.
- Camera / microfoon : Een app die toestemming heeft om foto's en video's te maken (bijvoorbeeld een camera-app), kan nu toestemming krijgen om audio op te nemen. De app kan naar u luisteren wanneer u andere apps gebruikt of wanneer het scherm van uw apparaat is uitgeschakeld.
U wordt gevraagd om te bevestigen wanneer een app een nieuwe groep rechten vereist. Als je al toegang hebt verleend aan een enkele toestemming van een groep, zijn alle weddenschappen uitgeschakeld en kan de app alle rechten in die groep krijgen.
Grote hoeveelheden Android-apps vragen al om meer rechten dan ze nodig hebben, en nu hebben die apps nog meer rechten gekregen die ze niet nodig hebben!
Elke app krijgt internettoegang
Google heeft ook elke app internettoegang gegeven, waardoor de toestemming voor internettoegang effectief is verwijderd. O ja, Android-ontwikkelaars moeten nog steeds aangeven dat ze internettoegang willen bij het samenstellen van de app. Maar gebruikers kunnen de toestemming voor internettoegang niet meer zien wanneer ze een app installeren en huidige apps die geen internettoegang hebben, kunnen nu internettoegang krijgen met een automatische update zonder dat u daarom wordt gevraagd.
Natuurlijk hebben de meeste apps tegenwoordig internettoegang nodig, maar niet allemaal. Misschien wilt u een live wallpaper, zaklamp of toetsenbord-app gebruiken zonder deze internettoegang te geven. Een van de beveiligingsfuncties voor toetsenborden van derden in iOS 8 van Apple is zelfs dat die toetsenborden geen toegang tot internet hebben, tenzij u dit specifiek toestaat. Alle toetsenborden op Android hebben nu toegang tot internet.
Machtigingen voor Android-apps zijn hoe dan ook verbroken
Het app-toestemmingssysteem van Android was al verbroken . Het is minder een toestemmingssysteem en meer een vraagsysteem. Een app vereist dat deze bepaalde functies vereist, en u kunt deze gebruiken of verlaten. U kunt niet kiezen of u een app bepaalde rechten wilt geven, maar andere niet. Android had eigenlijk een ingebouwde toestemmingsmanager waaraan werd gewerkt, maar Google heeft deze verwijderd. Nu alleen mensen die hun apparaten rooten en gebruik het Xposed Framework om de App Ops-functie terug te krijgen of installeer aangepaste ROM's zoals CyanogenMod kan app-machtigingen beheren. Typische Android-gebruikers worden machteloos gelaten.
Veel van het app-toestemmingssysteem van Android is zojuist zinloos gemaakt. Waarom zou je zelfs de moeite nemen om een fijnmazig toestemmingssysteem te hebben waarbij ontwikkelaars toegang tot internet moeten vragen en tot individuele toestemmingen zoals "sms-berichten lezen"? Google kan net zo goed de machtigingen voor Android-apps volledig opnieuw uitvoeren en apps in plaats daarvan toegang laten vragen tot groepen machtigingen. Ze zouden ons tenminste geen vals gevoel van veiligheid geven!
VERWANT: Het machtigingssysteem van Android is kapot en Google heeft het alleen maar erger gemaakt
En al die tijd Apple's iOS heeft een functioneel toestemmingssysteem dat gebruikers controle geeft .
Nee, dit is geen aanval op Android door een Apple-fanboy. Ik ben dol op Android en gebruik een Nexus 4 als smartphone, maar ik geloof in het geven van macht aan gebruikers. Android-gebruikers moeten kunnen kiezen welke apps sms-berichten kunnen verzenden of dat camera-apps audio kunnen opnemen. Nu kunnen we niet alleen machtigingen niet beheren zonder te rooten of een aangepast ROM te installeren, het nieuwe machtigingssysteem geeft ons zelfs nog minder macht.
Dankzij iamtubeman op Reddit voor het verkennen van deze belangrijke kwestie en het testen ervan. Google's uitleg van de nieuwe vereenvoudigde app-machtigingen van Android is te vinden hier .
