Google gjorde nettopp en stor endring i måten apptillatelser fungerer på Android. Apper som allerede er på enheten din, kan nå få farlige tillatelser med automatiske oppdateringer. Fremtidige apper kan få farlige tillatelser uten å spørre deg også.
Alt dette takket være den siste Play Store-oppdateringen og det forenklede app-tillatelsesgrensesnittet. Kjernetanken her - å gjøre Android-apptillatelser forståelig for vanlige brukere - er god. Gjennomføringen er det store problemet.
Apper kan nå legge til tillatelser uten å spørre deg
Google Play grupperer nå apptillatelser i grupper med relaterte tillatelser. For eksempel vil en app som ønsker å lese innkommende SMS-meldinger kreve tillatelsen "Les SMS-meldinger". Når du installerer det via Play-butikken, ser du det ber om tillatelsesgruppen "SMS".
Installer appen, og du gir den tilgang til alle SMS-relaterte tillatelser. Appen kan nå automatisk oppdatere og få muligheten til å sende SMS-meldinger uten å spørre deg.
Har du apper på enheten din som du stoler på å lese SMS-meldinger, men ikke sende dem? Disse appene kan nå få muligheten til å sende SMS-meldinger uten å spørre deg - alt utvikleren må gjøre er å oppdatere appen.
Den eneste måten å forhindre at dette skjer er å deaktivere automatiske oppdateringer og verifisere apptillatelser manuelt hver gang en app vil oppdatere - som om det er en rimelig løsning! Hvis du gjør dette, vil du også ende opp med å bruke utdaterte versjoner av apper, noe som er et annet sikkerhetsproblem.
Tillatelsesgrupper inneholder både trygge og farlige tillatelser
Det store problemet er at grupper kan inneholde både normale, grunnleggende tillatelser og farligere tillatelser. For eksempel:
- plassering : En app som ber om din omtrentlige, nettverksbaserte posisjon kan nå få tillatelse til å spore den nøyaktige plasseringen din med enhetens GPS.
- tekstmelding : En app som bare trenger å motta tekstmeldinger, kan nå få tillatelse til å sende SMS-meldinger i bakgrunnen, noe som potensielt koster deg penger.
- Telefon : En app som ber om å lese samtaleloggen din, kan nå få tillatelse til å omdirigere utgående samtaler og ringe uten å spørre deg.
- Bilder / Media / filer : En app som trenger å lese innholdet på USB-lagringen eller SD-kortet, kan nå formatere hele din eksterne lagringsenhet.
- Kamera / mikrofon : En app som har tillatelse til å ta bilder og videoer (for eksempel en kameraapp) kan nå få tillatelse til å ta opp lyd. Appen kan lytte til deg når du bruker andre apper eller når enhetens skjerm er av.
Du blir bedt om å bekrefte når en app krever en ny gruppe tillatelser. Hvis du allerede har gitt tilgang til en enkelt tillatelse fra en gruppe, er alle spill av og appen kan få alle tillatelser i den gruppen.
Store mengder Android-apper ber allerede om flere tillatelser enn de trenger, og nå har disse appene fått enda flere tillatelser de ikke trenger!
Hver app får internettilgang
Google har også gitt hver app Internett-tilgang, og fjerner effektivt tilgangen til Internett-tilgang. Å, visst, Android-utviklere må fortsatt erklære at de vil ha tilgang til Internett når de setter sammen appen. Men brukere kan ikke lenger se Internett-tilgangstillatelsen når de installerer en app, og nåværende apper som ikke har tilgang til Internett kan nå få tilgang til Internett med en automatisk oppdatering uten å be deg om det.
Visst, de fleste apper trenger internettilgang i disse dager, men ikke alle. Det kan være lurt å bruke et levende bakgrunnsbilde, lommelykt eller tastaturapp uten å gi det Internett-tilgang. Faktisk er en av sikkerhetsfunksjonene for tredjeparts tastaturer i Apples iOS 8 at disse tastaturene ikke får tilgang til Internett med mindre du spesifikt tillater det. Alle tastaturer på Android har nå tilgang til Internett.
Android App-tillatelser ble ødelagt, uansett
Androids apptillatelsessystem var allerede ødelagt . Det er mindre et tillatelsessystem og mer et etterspørselssystem. En app krever at den krever visse funksjoner, og du kan ta den eller forlate den. Du kan ikke velge om du vil gi en app noen tillatelser, men ikke andre. Android hadde faktisk en innebygd tillatelsesbehandling som det ble jobbet med, men Google fjernet den. Nå er det bare folk som roter enhetene sine og bruk Xposed Framework for å gjenvinne App Ops-funksjonen eller installer tilpassede ROM-er som CyanogenMod kan administrere apptillatelser. Typiske Android-brukere er maktesløse.
Mye av Androids apptillatelsessystem er nettopp gjort meningsløst. Hvorfor bry seg med å ha et finkornet tillatelsessystem der utviklere må be om tilgang til Internett og individuelle tillatelser som "lese SMS-meldinger"? Google kan like godt gjøre om Android-apptillatelser helt og få apper til å be om tilgang til grupper av tillatelser i stedet. I det minste ville de ikke gi oss en falsk følelse av sikkerhet!
I SLEKT: Androids tillatelsessystem er ødelagt, og Google gjorde det bare verre
Og hele tiden, Apples iOS har et funksjonelt tillatelsessystem som gir brukerne kontroll .
Nei, dette er ikke et angrep på Android fra en Apple-fanboy. Jeg elsker Android og bruker en Nexus 4 som en smarttelefon, men jeg tror på å gi brukerne makt. Android-brukere skal kunne velge hvilke apper som kan sende SMS-meldinger, eller om kameraapper kan ta opp lyd. Ikke bare kan vi ikke kontrollere tillatelser uten å rote eller installere en tilpasset ROM, det nye tillatelsessystemet gir oss enda mindre strøm.
Takk til iamtubeman på Reddit for å utforske denne viktige saken og teste den. Googles forklaring på Android's nye forenklede apptillatelser finner du her .
