Androidin sovellusoikeudet yksinkertaistettiin - nyt ne ovat paljon vähemmän turvallisia

Google teki vain suuren muutoksen tapaan, jolla sovellusoikeudet toimivat Androidissa. Laitteessasi jo olevat sovellukset voivat nyt saada vaarallisia oikeuksia automaattisilla päivityksillä. Tulevat sovellukset voivat saada vaarallisia oikeuksia pyytämättä sinua.

Tämä kaikki on uusimman Play Store -päivityksen ja sen yksinkertaistetun käyttöoikeusliittymän ansiosta. Tärkein idea tässä - Android-sovellusoikeuksien ymmärtäminen normaaleille käyttäjille - on hyvä. Täytäntöönpano on suuri ongelma.

Sovellukset voivat nyt lisätä oikeuksia pyytämättä sinua

Google Play ryhmittelee nyt sovellusoikeudet niihin liittyvien oikeuksien ryhmiin. Esimerkiksi sovellus, joka haluaa lukea saapuvat tekstiviestit, vaatii "Lue tekstiviestit" -luvan. Kun asennat sen Play Storen kautta, näet sen pyytämällä "SMS" -oikeusryhmää.

Asenna sovellus ja annat sen käyttöön kaikki tekstiviestiin liittyvät käyttöoikeudet. Sovellus voi nyt automaattisesti päivittää ja saada mahdollisuuden lähettää tekstiviestejä pyytämättä sinua.

Onko laitteessasi sovelluksia, joihin luotat lukea SMS-viestejä, mutta et lähetä niitä? Nämä sovellukset voivat nyt saada mahdollisuuden lähettää tekstiviestejä kehottamatta sinua - kaikki kehittäjän on tehtävä päivittää sovellus.

Ainoa tapa estää tämä tapahtuu on poistaa automaattiset päivitykset ja tarkistaa sovellusoikeudet manuaalisesti aina, kun sovellus haluaa päivittää - ikään kuin se olisi kohtuullinen ratkaisu! Jos teet tämän, käytätte myös sovellusten vanhentuneita versioita, mikä on toinen turvallisuusongelma.

Luparyhmät sisältävät sekä turvallisia että vaarallisia lupia

Suurena ongelmana on, että ryhmät voivat sisältää sekä normaaleja, perusoikeuksia että vaarallisempia oikeuksia. Esimerkiksi:

• Sijainti: Sovellus, joka pyytää likimääräistä, verkkopohjaista sijaintia, voi nyt saada luvan seurata tarkkaa sijaintiasi laitteen GPS: llä.
• tekstiviesti: Sovellus, joka tarvitsee vain tekstiviestien vastaanottamisen, voi nyt saada luvan lähettää tekstiviestejä taustalla, mikä voi maksaa sinulle rahaa.
• Puhelin: Sovellus, joka pyytää lukemaan puhelulokin, voi nyt saada luvan siirtää lähtevät puhelut ja soittaa puheluita pyytämättä sinua.
• Kuvat / media / tiedostot: Sovellus, jonka täytyy lukea USB-muistin tai SD-kortin sisältö, voi nyt alustaa koko ulkoisen tallennuslaitteen.
• Kamera / mikrofoni: Sovellus, jolla on lupa ottaa kuvia ja videoita (esimerkiksi kamerasovellus), voi nyt saada luvan äänen tallentamiseen. Sovellus voi kuunnella sinua, kun käytät muita sovelluksia tai kun laitteen näyttö on pois päältä.

Sinua pyydetään vahvistamaan, kun sovellus tarvitsee uuden ryhmän käyttöoikeuksia. Jos olet jo myöntänyt ryhmän yksittäisen käyttöoikeuden, kaikki vedot ovat pois päältä ja sovellus voi saada kaikki kyseisen ryhmän oikeudet.

Valtavat Android-sovellukset pyytävät jo enemmän oikeuksia kuin he tarvitsevat, ja nyt niille on myönnetty vielä enemmän oikeuksia, joita he eivät tarvitse!

Jokainen App saa Internet-yhteyden

Google on myös antanut jokaisen sovelluksen Internet-yhteyden tehokkaasti poistamalla Internet-käyttöoikeuden. Voi varmasti, Android-kehittäjien on vielä ilmoitettava, että he haluavat Internet-yhteyden sovelluksen kokoonpanossa. Mutta käyttäjät eivät enää näe Internet-käyttöoikeutta, kun asennat sovelluksen ja nykyiset sovellukset, joilla ei ole Internet-yhteyttä..

Varmasti, useimmat sovellukset tarvitsevat Internet-yhteyden näinä päivinä, mutta eivät kaikki niistä. Voit halutessasi käyttää live-taustakuvaa, taskulamppua tai näppäimistösovellusta antamatta Internet-yhteyttä. Itse asiassa yksi Applen iOS 8: n kolmansien osapuolten näppäimistöjen tietoturvaominaisuuksista on, että nämä näppäimistöt eivät voi käyttää Internetiä, ellei niitä ole erikseen sallittu. Kaikki Android-näppäimistöt voivat nyt käyttää Internetiä.

Android-sovellusoikeudet olivat rikki, joka tapauksessa

Androidin sovelluslupajärjestelmä oli jo rikki. Se on vähemmän lupajärjestelmää ja enemmän kysyntäjärjestelmää. Sovellus vaatii, että se vaatii tiettyjä ominaisuuksia, ja voit ottaa sen tai jättää sen. Et voi valita, haluatko antaa sovellukselle joitakin käyttöoikeuksia, mutta ei muita. Androidilla oli tosiasiallisesti sisäänrakennettu käyttöoikeuksien hallintaohjelma, jota on käsitelty, mutta Google poisti sen. Nyt vain henkilöt, jotka juovat laitteitaan ja käyttävät Xposed Frameworkia palauttamaan App Ops -ominaisuuden tai asentamaan mukautettuja ROM-levyjä, kuten CyanogenMod, voivat hallita sovellusoikeuksia. Tyypilliset Android-käyttäjät jäävät voimattomiksi.

Suuri osa Androidin sovelluslupajärjestelmästä on juuri tullut merkityksettömäksi. Miksi edes vaivaudu siihen, että sinulla on hienorakeinen lupajärjestelmä, jossa kehittäjien on pyydettävä pääsyä Internetiin ja yksittäisiin oikeuksiin, kuten "lukea tekstiviestejä"? Google voi vain korjata Android-sovellusten käyttöoikeudet kokonaan ja tehdä sovelluksista pyynnön käyttöoikeuksien ryhmille. Ainakin he eivät antaneet meille vääriä turvallisuustunteita!

Ja aina, Applen iOS: llä on toimiva lupajärjestelmä, joka antaa käyttäjille hallinnan.

Ei, tämä ei ole hyökkäys Android-fanilta Apple fanboyilta. Rakastan Androidia ja käytän Nexus 4: ää älypuhelimena, mutta uskon antamaan käyttäjille valtaa. Android-käyttäjien pitäisi voida valita, mitkä sovellukset voivat lähettää tekstiviestejä tai voivatko kameran sovellukset tallentaa ääntä. Nyt emme voi vain hallita käyttöoikeuksia ilman mukautetun ROM: in juurtamista tai asentamista, uusi lupajärjestelmä antaa meille vielä vähemmän virtaa.

Kiitos iamtubemanille Redditistä tämän tärkeän kysymyksen tutkimisesta ja sen testaamisesta. Googlen selitys Androidin uusista yksinkertaistetuista sovellusoikeuksista löytyy täältä.