Домашняя » как » Разрешения приложений Android были просто упрощены - теперь они стали намного менее безопасными

    Разрешения приложений Android были просто упрощены - теперь они стали намного менее безопасными

    Google только что внес огромные изменения в работу разрешений приложений на Android. Приложения, уже установленные на вашем устройстве, теперь могут получать опасные разрешения с помощью автоматических обновлений. Будущие приложения могут получить опасные разрешения, не спрашивая вас тоже.

    Это все благодаря последнему обновлению Play Store и упрощенному интерфейсу разрешений для приложений. Основная идея здесь - сделать права доступа для приложений Android понятными для обычных пользователей - это хорошо. Реализация является большой проблемой.

    Приложения теперь могут добавлять разрешения, не спрашивая вас

    Google Play теперь группирует разрешения приложений в группы связанных разрешений. Например, приложение, которое хочет читать ваши входящие SMS-сообщения, требует разрешения «Чтение SMS-сообщений». Когда вы установите его через Play Store, вы увидите, что он запрашивает группу разрешений «SMS».

    Установите приложение, и вы дадите ему доступ ко всем разрешениям, связанным с SMS. Приложение теперь может автоматически обновляться и получать возможность отправлять SMS-сообщения, не спрашивая вас.

    Есть ли на вашем устройстве приложения, которым вы доверяете читать SMS-сообщения, но не отправляете их? Эти приложения теперь могут получать возможность отправлять SMS-сообщения без запроса - все, что нужно сделать разработчику, это обновить приложение..

    Единственный способ предотвратить это - отключить автоматические обновления и проверять разрешения приложений вручную каждый раз, когда приложение хочет обновить - как будто это разумное решение! Если вы сделаете это, вы также в конечном итоге будете использовать устаревшие версии приложений, что является еще одной проблемой безопасности..

    Группы разрешений содержат как безопасные, так и опасные разрешения

    Большая проблема состоит в том, что группы могут содержать как обычные, базовые разрешения, так и более опасные разрешения. Например:

    • Место нахождения: Приложение, которое запрашивает ваше приблизительное сетевое местоположение, теперь может получить разрешение на отслеживание вашего точного местоположения с помощью GPS вашего устройства.
    • смс: Приложение, которому нужно только получать текстовые сообщения, теперь может получить разрешение на отправку SMS-сообщений в фоновом режиме, что может стоить вам денег.
    • Телефон: Приложение, которое запрашивает чтение журнала вызовов, теперь может получить разрешение на перенаправление исходящих вызовов и выполнение телефонных звонков, не спрашивая вас.
    • Фотографии / СМИ / файлы: Приложение, которое должно считывать содержимое вашего USB-накопителя или SD-карты, теперь может форматировать все ваше внешнее запоминающее устройство.
    • Камера / МикрофонПриложение, имеющее разрешение на фотосъемку и видеозапись (например, приложение камеры), теперь может получить разрешение на запись звука. Приложение может слушать вас, когда вы используете другие приложения или когда экран вашего устройства выключен.

    Вам будет предложено подтвердить, когда приложение требует новую группу разрешений. Если вы уже предоставили доступ к одному разрешению от группы, все ставки отключены, и приложение может получить все разрешения в этой группе..

    Огромное количество приложений Android уже запрашивает больше разрешений, чем им нужно, и теперь этим приложениям предоставлено еще больше разрешений, в которых они не нуждаются!

    Каждое приложение получает доступ в Интернет

    Google также предоставил каждому приложению доступ к Интернету, фактически удалив разрешение на доступ к Интернету. О, конечно, разработчики Android все еще должны заявить, что они хотят получить доступ к Интернету при сборке приложения. Но пользователи больше не могут видеть разрешение на доступ к Интернету при установке приложения, и текущие приложения, которые не имеют доступа к Интернету, теперь могут получить доступ к Интернету с помощью автоматического обновления, не запрашивая у вас.

    Конечно, в наши дни большинству приложений требуется доступ к Интернету, но не всем. Возможно, вы захотите использовать живые обои, фонарик или клавиатуру без доступа к Интернету. Фактически, одна из функций безопасности для сторонних клавиатур в iOS 8 от Apple заключается в том, что эти клавиатуры не могут выходить в Интернет, если вы специально не разрешите им. Все клавиатуры на Android теперь могут выходить в интернет.

    В любом случае, разрешения для Android-приложений были нарушены

    Система разрешений приложений Android уже сломана. Это не столько система разрешений, сколько система спроса. Приложение требует, чтобы оно требовало определенных функций, и вы можете взять его или оставить. Вы не можете выбрать, хотите ли вы дать приложению некоторые разрешения, но не другие. У Android на самом деле был встроенный менеджер разрешений, над которым работали, но Google удалил его. Теперь только люди, которые рутируют свои устройства и используют Xposed Framework для восстановления функции App Ops или установки пользовательских ПЗУ, таких как CyanogenMod, могут управлять разрешениями приложения. Типичные пользователи Android остаются бессильны.

    Большая часть системы разрешений приложений для Android только что стала бессмысленной. Зачем вообще беспокоиться о наличии мелкозернистой системы разрешений, где разработчики должны запрашивать доступ к Интернету и к отдельным разрешениям, таким как «чтение SMS-сообщений»? Google может также полностью изменить разрешения приложений Android и заставить приложения запрашивать доступ к группам разрешений. По крайней мере, они не дают нам ложное чувство безопасности!

    И в то же время, Apple, iOS имеет функциональную систему разрешений, которая дает пользователям контроль.

    Нет, это не нападение на Android от фаната Apple. Я люблю Android и использую Nexus 4 в качестве смартфона, но я верю в то, чтобы дать пользователям власть. Пользователи Android должны иметь возможность выбирать, какие приложения могут отправлять SMS-сообщения или могут ли приложения камеры записывать звук. Теперь мы не только не можем контролировать разрешения без рутирования или установки пользовательского ПЗУ, новая система разрешений дает нам еще меньше возможностей.


    Спасибо iamtubeman в Reddit за то, что он исследовал эту важную проблему и протестировал ее. Объяснение Google относительно новых упрощенных разрешений приложений для Android можно найти здесь.