Aplikácie pre Android boli jednoducho zjednodušené - teraz sú oveľa menej bezpečné

Spoločnosť Google práve vykonala obrovskú zmenu v spôsobe, akým v spoločnosti Android fungujú povolenia na aplikácie. Aplikácie, ktoré už sú v zariadení, teraz môžu získať nebezpečné povolenia s automatickými aktualizáciami. Budúce aplikácie môžu získať nebezpečné povolenia bez toho, aby vás o to požiadali.

To všetko vďaka najnovšej aktualizácii služby Obchod Play a jej zjednodušenému rozhraniu pre povolenie aplikácie. Základná myšlienka tu - robiť povolenia pre aplikácie Android zrozumiteľné pre bežných používateľov - je dobrá. Implementácia je veľkým problémom.

Aplikácie môžu teraz pridať povolenia bez toho, aby vás požiadali

Služba Google Play teraz zoskupuje povolenia aplikácie do skupín súvisiacich povolení. Aplikácia, ktorá si napríklad chce prečítať prichádzajúce správy SMS, bude vyžadovať povolenie "Čítanie SMS správ". Keď ho nainštalujete prostredníctvom Obchodu Play, zobrazí sa jeho žiadosť o povolenie skupiny SMS.

Aplikáciu nainštalujte a dáte jej prístup ku všetkým povoleniam týkajúcim sa SMS. Aplikácia môže teraz automaticky aktualizovať a získať možnosť odosielať SMS bez toho, aby vás požiadala.

Máte v zariadení aplikácie, ktorým dôverujete čítaniu správ SMS, ale neposielajte ich? Tieto aplikácie teraz môžu získať možnosť odosielať správy SMS bez toho, aby vás vyzvali - všetok vývojár musí urobiť, je aktualizovať aplikáciu.

Jediným spôsobom, ako zabrániť tomu, aby sa to stalo, je zakázať automatické aktualizácie a overiť povolenia aplikácie ručne vždy, keď sa aplikácia chce aktualizovať - ​​akoby to bolo rozumné riešenie! Ak tak urobíte, skončíte aj pomocou zastaraných verzií aplikácií, čo je ďalší problém s bezpečnosťou.

Povolené skupiny obsahujú obe bezpečné a nebezpečné povolenia

Veľkým problémom je, že skupiny môžu obsahovať normálne, základné povolenia, ako aj nebezpečnejšie povolenia. Napríklad:

• umiestnenia: Aplikácia, ktorá žiada vaše približné umiestnenie v sieti, teraz môže získať povolenie na sledovanie vašej presnej polohy pomocou GPS zariadenia.
• SMS: Aplikácia, ktorá potrebuje iba prijímanie textových správ, teraz môže získať povolenie na odosielanie SMS správ na pozadí, čo vám môže stáť peniaze.
• telefón: Aplikácia, ktorá si želá čítať denník hovorov, teraz môže získať povolenie na presmerovanie odchádzajúcich hovorov a telefonovanie bez toho, aby vás požiadala.
• Fotografie / Media / Files: Aplikácia, ktorá potrebuje prečítať obsah vášho úložného priestoru USB alebo karty SD, teraz môže naformátovať celé vaše externé pamäťové zariadenie.
• Kamera / Mikrofón: Aplikácia, ktorá má povolenie na fotografovanie a videá (napríklad aplikácia pre fotoaparát), môže teraz získať povolenie na zaznamenávanie zvuku. Aplikácia vás môže počúvať, keď používate iné aplikácie alebo keď je obrazovka zariadenia vypnutá.

Zobrazí sa výzva na potvrdenie, kedy aplikácia vyžaduje novú skupinu povolení. Ak ste už udelili prístup k jednému povoleniu zo skupiny, všetky stávky sú vypnuté a aplikácia môže získať všetky povolenia v tejto skupine.

Obrovské množstvo aplikácií pre systém Android už vyžaduje ďalšie povolenia, než potrebujú, a teraz im boli udelené ešte ďalšie povolenia, ktoré nepotrebujú!

Každá aplikácia získa prístup na Internet

Spoločnosť Google tiež sprístupnila každú aplikáciu na internete a účinne odstránila povolenie na prístup na internet. Áno, vývojári Androidu ešte musia vyhlásiť, že chcú mať prístup k internetu pri zostavovaní aplikácie. Používatelia však už nemôžu vidieť povolenie prístupu na internet pri inštalácii aplikácie a aktuálne aplikácie, ktoré nemajú prístup na Internet, teraz môžu získať prístup na internet s automatickou aktualizáciou bez toho, aby vás vyzvali.

Iste, väčšina aplikácií potrebuje prístup k internetu v týchto dňoch, ale nie všetky. Možno budete chcieť používať živú tapetu, baterku alebo klávesnicu bez toho, aby ste jej sprístupnili na internete. V skutočnosti je jedným z bezpečnostných prvkov pre klávesnicu tretej strany v systéme iOS 8 spoločnosti Apple, že tieto klávesnice nemajú prístup k internetu, pokiaľ im to výslovne neumožníte. Všetky klávesnice v systéme Android môžu teraz pristupovať k internetu.

Povolenia na aplikáciu pre Android boli rozbité

Systém povolenia na používanie systému Android už bol prerušený. Je to menej systém povolení a viac systému dopytu. Aplikácia vyžaduje, aby vyžadovala určité funkcie a môžete ju vziať alebo ju nechať. Nemôžete si vybrať, či chcete aplikácii dať nejaké povolenie, ale nie iné. Android mal v skutočnosti vstavaný správca povolení, na ktorom sa pracovalo, ale spoločnosť Google ho odstránila. Teraz môžu spravovať iba oprávnenia aplikácie iba ľudia, ktorí zakopávajú svoje zariadenia a používajú Xposed Framework na získanie funkcie App Ops alebo inštaláciu vlastných ROM ako CyanogenMod. Typickí používatelia Androidu zostávajú bezmocní.

Väčšina systémov povolenia na používanie systému Android bola práve zbytočná. Prečo sa dokonca obťažuje, že bude mať povolený systém oprávnení, v ktorom by mali vývojári požadovať prístup k internetu a individuálnym povoleniam, napríklad "čítať SMS správy"? Spoločnosť Google môže úplne opätovne upraviť povolenia pre aplikácie pre systém Android a namiesto toho požadovať aplikácie prístup k skupinám oprávnení. Aspoň by nám nedali falošný pocit bezpečia!

A po celú dobu, systém iOS spoločnosti Apple má funkčný systém povolení, ktorý dáva používateľom kontrolu.

Nie, to nie je útok na Android od fanúšikov Apple. Milujem Android a používam Nexus 4 ako smartphone, ale verím, že dám moc užívateľom. Používatelia Android by mali mať možnosť vybrať si, ktoré aplikácie môžu posielať správy SMS alebo či aplikácie fotoaparátu môžu nahrávať zvuk. Teraz nielenže nemôžeme kontrolovať povolenia bez zakoreňovania alebo inštalácie vlastnej ROM, nový systém povolení nám dáva ešte menší výkon.

Vďaka Iamtubeman na Reddit za preskúmanie tejto dôležitej otázky a testovanie. Vysvetlenie nových zjednodušených oprávnení pre aplikácie od spoločnosti Android nájdete tu.