Дозволу додатків Android були просто спрощені - тепер вони набагато менш безпечними
Google просто зробив величезні зміни в роботі дозволів на Android. Програми, які вже є на вашому пристрої, тепер можуть отримувати небезпечні дозволи з автоматичними оновленнями. Майбутні програми можуть отримувати небезпечні дозволи, не запитуючи вас.
Це все завдяки останнім оновленням Play Store і спрощеному інтерфейсу дозволів додатків. Основна ідея - зробити дозволи на додатки для Android зрозумілими для звичайних користувачів - це добре. Реалізація - велика проблема.
Програми тепер можуть додавати дозволи без запиту
Google Play тепер групує дозволи на програми на групи відповідних дозволів. Наприклад, програма, яка бажає читати ваші вхідні SMS-повідомлення, вимагатиме дозволу «Читання SMS-повідомлень». Коли ви встановлюєте його через Play Store, ви побачите, що він запитує групу дозволів «SMS».
Установіть програму, і ви надаєте їй доступ до всіх дозволів, пов’язаних із SMS. Тепер програма може автоматично оновлюватись і отримувати можливість надсилати SMS-повідомлення, не запитуючи вас.
У вашому пристрої є програми, яким ви довіряєте читати SMS-повідомлення, але не надсилати їх? Ці програми тепер можуть отримувати можливість надсилати SMS-повідомлення без запрошення - все, що потрібно розробнику, - це оновити програму.
Єдиний спосіб запобігти цьому - вимкнути автоматичне оновлення та перевірити дозволу додатків вручну кожного разу, коли додаток хоче оновити - так, ніби це розумне рішення! Якщо ви зробите це, ви також отримаєте застарілі версії програм, що є ще однією проблемою безпеки.
Групи дозволів містять як безпечні, так і небезпечні дозволи
Велика проблема полягає в тому, що групи можуть містити як нормальні, так і базові дозволи, а також більш небезпечні дозволи. Наприклад:
- Розташування: Додаток, який запитує ваше приблизне місцезнаходження на основі мережі, тепер може отримати дозвіл відстежувати ваше точне місцезнаходження за допомогою GPS пристрою.
- СМС: Додаток, яким потрібно лише отримувати текстові повідомлення, тепер може отримати дозвіл на надсилання SMS-повідомлень у фоновому режимі, що може коштувати вам грошей.
- Телефон: Додаток, який просить прочитати журнал дзвінків, тепер може отримати дозвіл на перенаправлення вихідних дзвінків і здійснювати телефонні дзвінки без запиту.
- Фотографії / медіа / файли: Тепер програма, яка має читати вміст носія USB або SD-карти, може форматувати весь зовнішній пристрій зберігання даних.
- Камера / мікрофон: Тепер програма, яка має дозвіл робити знімки та відео (наприклад, додаток камери), може отримати дозвіл на запис звуку. Додаток може слухати вас, коли ви використовуєте інші програми або коли екран пристрою вимкнений.
Вас попросять підтвердити, коли програма вимагає нову групу дозволів. Якщо ви вже надавали доступ до одного дозволу з групи, всі ставки виключені, і програма може отримати всі дозволи в цій групі.
Величезна кількість додатків Android уже вимагають більше дозволів, ніж їм потрібно, і тепер цим додаткам надано ще більше дозволів, які їм не потрібні!
Кожен додаток отримує доступ до Інтернету
Google також надав кожному додатку доступ до Інтернету, ефективно видаляючи дозвіл на доступ до Інтернету. О, звичайно, розробники Android все одно повинні заявити, що хочуть отримати доступ до Інтернету, коли збирають додаток. Але користувачі не можуть більше бачити дозвіл на доступ до Інтернету під час встановлення програми, а поточні програми, які не мають доступу до Інтернету, тепер можуть отримати доступ до Інтернету за допомогою автоматичного оновлення, не спонукаючи вас.
Звичайно, більшість програм в ці дні потребують доступу до Інтернету, але не всі. Можливо, вам захочеться використовувати живі шпалери, ліхтарик або клавіатуру без надання доступу до Інтернету. Насправді, однією з функцій безпеки для сторонніх клавіатур в iOS 8 від Apple є те, що ці клавіатури не мають доступу до Інтернету, якщо ви спеціально не дозволили їм. Усі клавіатури Android можуть тепер отримати доступ до Інтернету.
Дозволи для Android App були розбиті, так чи інакше
Система дозволів на додаток Android уже була порушена. Це менше система дозволів і більше система попиту. Програма вимагає, щоб вона вимагала певних функцій, і ви можете взяти її або залишити. Ви не можете вибрати, чи потрібно додавати програмі дозвіл, а не інші. Android насправді має вбудований менеджер дозволів, над яким працювали, але Google видалив його. Тепер тільки люди, які коренять свої пристрої і використовують Xposed Framework, щоб відновити функцію App Ops або встановити спеціальні диски, такі як CyanogenMod, можуть керувати правами додатків. Типові користувачі Android залишаються безсилі.
Велика частина дозвільної системи додатків Android просто втратила сенс. Навіщо навіть приймати систему точних дозволів, де розробникам доводиться запитувати доступ до Інтернету і до окремих дозволів, наприклад, «читати SMS-повідомлення»? Google цілком може повністю переробити дозволи додатків для Android і замість цього зробити додатки запитувати доступ до груп дозволів. Принаймні, вони не дадуть нам помилкового почуття безпеки!
І весь час Apple iOS має функціональну систему дозволів, яка надає користувачам контроль.
Ні, це не напад на Android від фанатів Apple. Я люблю Android і використовую Nexus 4 як смартфон, але я вважаю, що дає користувачам силу. Користувачі Android повинні мати можливість вибирати, які програми можуть відправляти SMS-повідомлення, а також чи можна записувати відео з додатків камери. Тепер ми не тільки не можемо контролювати дозволи без укорінення або встановлення спеціального ПЗУ, але й нова система дозволів дає нам ще менше енергії.
Завдяки iamtubeman на Reddit для вивчення цього важливого питання та його тестування. Пояснення Google про нові спрощення дозволів додатків Android можна знайти тут.