Google właśnie wprowadził ogromną zmianę w sposobie, w jaki uprawnienia aplikacji działają na Androida. Aplikacje już na Twoim urządzeniu mogą teraz uzyskać niebezpieczne uprawnienia dzięki automatycznym aktualizacjom. Przyszłe aplikacje mogą uzyskać niebezpieczne uprawnienia również bez pytania.
To wszystko dzięki najnowszej aktualizacji Sklep Play i jej uproszczonemu interfejsowi uprawnień do aplikacji. Zasadniczy pomysł - uczynienie uprawnień aplikacji na Androida zrozumiałymi dla zwykłych użytkowników - jest dobry. Wdrożenie to duży problem.
Google Play teraz grupuje uprawnienia aplikacji w grupy powiązanych uprawnień. Na przykład aplikacja, która chce odczytać przychodzące wiadomości SMS, wymaga uprawnienia "Odczytaj wiadomości SMS". Gdy zainstalujesz go ze Sklepu Play, zobaczysz prośbę o grupę uprawnień "SMS".
Zainstaluj aplikację i dajesz mu dostęp do wszystkich uprawnień związanych z SMS-em. Aplikacja może teraz automatycznie aktualizować i zyskać możliwość wysyłania wiadomości SMS bez pytania.
Czy masz na urządzeniu aplikacje, którym ufasz, że czytasz SMS-y, ale ich nie wysyłasz? Te aplikacje mogą teraz uzyskać możliwość wysyłania wiadomości SMS bez pytania - wszystko, co musi zrobić programista, to zaktualizować aplikację.
Jedynym sposobem, aby temu zapobiec, jest wyłączenie automatycznych aktualizacji i ręczne weryfikowanie uprawnień aplikacji za każdym razem, gdy aplikacja chce ją zaktualizować - tak, jakby to było rozsądne rozwiązanie! Jeśli to zrobisz, skończy Ci się też używanie nieaktualnych wersji aplikacji, co jest kolejnym problemem z bezpieczeństwem.
Duży problem polega na tym, że grupy mogą zawierać zarówno zwykłe, podstawowe uprawnienia, jak i bardziej niebezpieczne uprawnienia. Na przykład:
Zostaniesz poproszony o potwierdzenie, kiedy aplikacja wymaga nowej grupy uprawnień. Jeśli przyznałeś już dostęp do jednego pozwolenia z grupy, wszystkie zakłady są wyłączone, a aplikacja może uzyskać wszystkie uprawnienia w tej grupie.
Ogromne ilości aplikacji na Androida już wymagają więcej uprawnień, niż potrzebują, a teraz te aplikacje otrzymały jeszcze więcej uprawnień, których nie potrzebują!
Google udostępnił także każdej aplikacji dostęp do Internetu, skutecznie usuwając pozwolenie na dostęp do Internetu. Och, oczywiście, programiści Androida wciąż muszą zadeklarować, że chcą mieć dostęp do Internetu podczas składania aplikacji. Ale użytkownicy nie mogą już widzieć uprawnień dostępu do Internetu podczas instalowania aplikacji, a obecne aplikacje, które nie mają dostępu do Internetu, mogą teraz uzyskać dostęp do Internetu z automatyczną aktualizacją bez pytania.
Oczywiście, większość aplikacji potrzebuje obecnie dostępu do Internetu, ale nie wszystkie. Możesz użyć tapety na żywo, latarki lub aplikacji na klawiaturę bez udostępniania jej w Internecie. W rzeczywistości jedną z funkcji zabezpieczeń dla klawiatur innych firm w systemie iOS 8 firmy Apple jest to, że te klawiatury nie mogą uzyskać dostępu do Internetu, chyba że użytkownik na to zezwoli. Wszystkie klawiatury na Androida mogą teraz uzyskać dostęp do Internetu.
System uprawnień aplikacji Androida został już złamany. To mniej systemu uprawnień i więcej systemu popytu. Aplikacja wymaga, aby wymagała pewnych funkcji, i możesz ją wziąć lub ją opuścić. Nie możesz wybrać, czy chcesz nadać aplikacji pewne uprawnienia, ale nie inne. Android faktycznie miał wbudowany menedżer uprawnień, nad którym pracowano, ale Google go usunął. Teraz tylko użytkownicy, którzy rootują swoje urządzenia i korzystają z Xposed Framework, aby odzyskać funkcję App Ops lub zainstalować niestandardowe ROMy, takie jak CyanogenMod, mogą zarządzać uprawnieniami aplikacji. Typowi użytkownicy Androida są bezsilni.
Większość systemu uprawnień aplikacji na Androida właśnie straciła sens. Po co zawracać sobie głowę drobnym systemem uprawnień, w którym programiści muszą prosić o dostęp do Internetu i o indywidualne uprawnienia, takie jak "czytaj SMS-y"? Google może równie dobrze przerobić uprawnienia aplikacji na Androida i sprawić, by aplikacje żądały dostępu do grup uprawnień. Przynajmniej nie dadzą nam fałszywego poczucia bezpieczeństwa!
Przez cały czas system iOS firmy Apple ma funkcjonalny system uprawnień, który zapewnia użytkownikom kontrolę.
Nie, to nie jest atak na Androida z fanboyem Apple. Uwielbiam Androida i używam Nexusa 4 jako smartfona, ale wierzę w dawanie użytkownikom mocy. Użytkownicy Androida powinni mieć możliwość wybrania, które aplikacje mogą wysyłać wiadomości SMS lub czy aplikacje aparatu mogą nagrywać dźwięk. Teraz nie tylko nie możemy kontrolować uprawnień bez zrootowania lub instalacji niestandardowej pamięci ROM, nowy system uprawnień daje nam jeszcze mniej energii.
Dzięki iamtubeman na Reddit za zbadanie tego ważnego problemu i przetestowanie go. Wyjaśnienia Google dotyczące nowych uproszczonych uprawnień aplikacji na Androida można znaleźć tutaj.
