Firma Google właśnie wprowadziła ogromną zmianę w sposobie działania uprawnień aplikacji na Androida. Aplikacje już zainstalowane na Twoim urządzeniu mogą teraz uzyskać niebezpieczne uprawnienia dzięki automatycznym aktualizacjom. Przyszłe aplikacje mogą również uzyskać niebezpieczne uprawnienia bez pytania.
To wszystko dzięki najnowszej aktualizacji Sklepu Play i uproszczonemu interfejsowi uprawnień aplikacji. Podstawowy pomysł - uczynienie uprawnień aplikacji na Androida zrozumiałymi dla zwykłych użytkowników - jest dobry. Wdrożenie jest dużym problemem.
Aplikacje mogą teraz dodawać uprawnienia bez pytania
Google Play grupuje teraz uprawnienia aplikacji w grupy powiązanych uprawnień. Na przykład aplikacja, która chce czytać przychodzące wiadomości SMS, będzie wymagać uprawnienia „Czytaj wiadomości SMS”. Po zainstalowaniu go przez Sklep Play zobaczysz prośbę o grupę uprawnień „SMS”.
Zainstaluj aplikację i przyznaj jej dostęp do wszystkich uprawnień związanych z SMS-ami. Aplikacja może teraz automatycznie aktualizować się i mieć możliwość wysyłania wiadomości SMS bez pytania.
Czy masz na swoim urządzeniu aplikacje, którym ufasz, że czytają wiadomości SMS, ale ich nie wysyłasz? Te aplikacje mogą teraz uzyskać możliwość wysyłania wiadomości SMS bez monitowania - wszystko, co musi zrobić programista, to zaktualizować aplikację.
Jedynym sposobem, aby temu zapobiec, jest wyłączenie automatycznych aktualizacji i ręczne weryfikowanie uprawnień aplikacji za każdym razem, gdy aplikacja chce się zaktualizować - jakby to było rozsądne rozwiązanie! Jeśli to zrobisz, skończysz także na używaniu nieaktualnych wersji aplikacji, co jest kolejnym problemem związanym z bezpieczeństwem.
Grupy uprawnień zawierają zarówno bezpieczne, jak i niebezpieczne uprawnienia
Duży problem polega na tym, że grupy mogą zawierać zarówno zwykłe, podstawowe uprawnienia, jak i bardziej niebezpieczne uprawnienia. Na przykład:
- Lokalizacja : Aplikacja, która pyta o przybliżoną lokalizację w sieci, może teraz uzyskać pozwolenie na śledzenie Twojej dokładnej lokalizacji za pomocą GPS urządzenia.
- SMS : Aplikacja, która musi tylko odbierać wiadomości tekstowe, może teraz uzyskać pozwolenie na wysyłanie wiadomości SMS w tle, co może wiązać się z kosztami.
- Telefon : Aplikacja, która prosi o odczytanie rejestru połączeń, może teraz uzyskać pozwolenie na przekierowanie połączeń wychodzących i wykonywanie połączeń telefonicznych bez pytania.
- Zdjęcia / Media / Pliki : Aplikacja, która musi odczytać zawartość pamięci USB lub karty SD, może teraz sformatować całe zewnętrzne urządzenie pamięci masowej.
- Kamera / mikrofon : Aplikacja, która ma uprawnienia do robienia zdjęć i nagrywania filmów (na przykład aplikacja aparatu), może teraz uzyskać uprawnienia do nagrywania dźwięku. Aplikacja może Cię słuchać, gdy używasz innych aplikacji lub gdy ekran urządzenia jest wyłączony.
Pojawi się prośba o potwierdzenie, kiedy aplikacja wymaga nowej grupy uprawnień. Jeśli przyznałeś już dostęp do jednego uprawnienia z grupy, wszystkie zakłady są wyłączone, a aplikacja może uzyskać wszystkie uprawnienia w tej grupie.
Ogromna liczba aplikacji na Androida już prosi o więcej uprawnień, niż potrzebują, a teraz te aplikacje otrzymały jeszcze więcej uprawnień, których nie potrzebują!
Każda aplikacja uzyskuje dostęp do Internetu
Google przyznał również każdej aplikacji dostęp do Internetu, skutecznie usuwając pozwolenie na dostęp do Internetu. Och, jasne, programiści Androida nadal muszą zadeklarować, że chcą mieć dostęp do Internetu podczas składania aplikacji. Jednak użytkownicy nie widzą już uprawnień dostępu do Internetu podczas instalowania aplikacji, a obecne aplikacje, które nie mają dostępu do Internetu, mogą teraz uzyskiwać dostęp do Internetu z automatyczną aktualizacją bez pytania użytkownika.
Jasne, obecnie większość aplikacji wymaga dostępu do internetu, ale nie wszystkie. Możesz użyć animowanej tapety, latarki lub aplikacji na klawiaturze bez zapewniania im dostępu do Internetu. W rzeczywistości jedną z funkcji zabezpieczeń klawiatur innych firm w systemie iOS 8 firmy Apple jest to, że klawiatury te nie mogą uzyskać dostępu do Internetu, chyba że wyraźnie im na to zezwolisz. Wszystkie klawiatury w systemie Android mogą teraz uzyskać dostęp do Internetu.
W każdym razie uprawnienia aplikacji na Androida zostały zerwane
System uprawnień aplikacji na Androida był już uszkodzony . To mniej systemu uprawnień, a bardziej systemu zapotrzebowania. Aplikacja wymaga pewnych funkcji i możesz ją wziąć lub zostawić. Nie możesz zdecydować, czy chcesz przyznać aplikacji niektóre uprawnienia, a innym nie. Android miał wbudowanego menedżera uprawnień, nad którym pracowano, ale Google go usunął. Teraz tylko osoby, które rootują swoje urządzenia i użyj Xposed Framework, aby odzyskać funkcję App Ops lub zainstaluj niestandardowe ROM-y, takie jak CyanogenMod może zarządzać uprawnieniami aplikacji. Typowi użytkownicy Androida są bezsilni.
Znaczna część systemu uprawnień aplikacji na Androida właśnie straciła sens. Po co w ogóle zawracać sobie głowę szczegółowym systemem uprawnień, w którym programiści muszą prosić o dostęp do Internetu i indywidualne uprawnienia, takie jak „czytaj wiadomości SMS”? Google może równie dobrze całkowicie przerobić uprawnienia aplikacji na Androida i zamiast tego sprawić, by aplikacje żądały dostępu do grup uprawnień. Przynajmniej nie dawaliby nam fałszywego poczucia bezpieczeństwa!
ZWIĄZANE Z: System uprawnień Androida jest uszkodzony, a Google po prostu go pogorszyło
I przez cały czas Apple iOS ma funkcjonalny system uprawnień, który daje użytkownikom kontrolę .
Nie, to nie jest atak na Androida ze strony fanatyka Apple. Uwielbiam Androida i używam Nexusa 4 jako smartfona, ale wierzę w zapewnianie użytkownikom możliwości. Użytkownicy Androida powinni mieć możliwość wyboru, które aplikacje mogą wysyłać wiadomości SMS lub czy aplikacje aparatu mogą nagrywać dźwięk. Teraz nie tylko nie możemy kontrolować uprawnień bez zrootowania lub zainstalowania niestandardowej pamięci ROM, nowy system uprawnień daje nam jeszcze mniej mocy.
Dzięki iamtubeman na Reddicie za zbadanie tego ważnego problemu i przetestowanie go. Można znaleźć wyjaśnienie Google dotyczące nowych uproszczonych uprawnień aplikacji na Androida tutaj .
