Apples tillatelser for Android var bare forenklet - nå er de mye mindre sikre
Google har gjort en stor endring i måten app-tillatelser fungerer på Android. Apper som allerede finnes på enheten din, kan nå få farlige tillatelser med automatiske oppdateringer. Fremtidige apper kan få farlige tillatelser uten å spørre deg også.
Dette er alt takket være den nyeste Play Store-oppdateringen og det forenklede apptillatelsesgrensesnittet. Kjernen ideen her - gjør Android app tillatelser forståelig for normale brukere - er bra. Gjennomføringen er det store problemet.
Apper kan nå legge til tillatelser uten å spørre deg
Google Play grupperer nå apptillatelser til grupper med tilhørende tillatelser. For eksempel vil en app som vil lese dine innkommende SMS-meldinger kreve "Lese SMS-meldinger" -tillatelse. Når du installerer det via Play-butikken, ser du det etter å be om "SMS" -tillatelsesgruppen.
Installer appen, og du gir den tilgang til alle SMS-relaterte tillatelser. Appen kan nå automatisk oppdatere og få muligheten til å sende SMS-meldinger uten å spørre deg.
Har du apper på enheten din som du stoler på å lese SMS-meldinger, men ikke sende dem? Disse appene kan nå få muligheten til å sende SMS-meldinger uten å spørre deg. Alt utvikleren må gjøre, er å oppdatere appen.
Den eneste måten å forhindre dette på, er å deaktivere automatiske oppdateringer og bekrefte apptillatelser manuelt hver gang en app ønsker å oppdatere - som om det er en rimelig løsning! Hvis du gjør dette, vil du også ende opp med å bruke utdaterte versjoner av apper, noe som er et annet sikkerhetsproblem.
Tillatelsesgrupper inneholder både sikre og farlige tillatelser
Det store problemet er at grupper kan inneholde både normale, grunnleggende tillatelser og farligere tillatelser. For eksempel:
- plassering: En app som ber om din omtrentlige nettverksbaserte plassering, kan nå få tillatelse til å spore nøyaktig plassering med enhetens GPS.
- tekstmelding: En app som bare trenger å motta tekstmeldinger, kan nå få tillatelse til å sende SMS-meldinger i bakgrunnen, og kan koste deg penger.
- telefon: En app som ber om å lese samtaleloggen, kan nå få tillatelse til å omdirigere utgående anrop og ringe uten å spørre deg.
- Bilder / Media / Files: En app som trenger å lese innholdet i USB-lagring eller SD-kort, kan nå formatere hele ekstern lagringsenhet.
- Kamera / mikrofon: En app som har tillatelse til å ta bilder og videoer (for eksempel en kameraprogram) kan nå få lov til å ta opp lyd. Appen kunne høre på deg når du bruker andre apper eller når enhetens skjerm er slått av.
Du blir bedt om å bekrefte når en app krever en ny gruppe tillatelser. Hvis du allerede har gitt tilgang til en enkelt tillatelse fra en gruppe, er alle spill av, og appen kan få alle tillatelser i den gruppen.
Store mengder Android-apper ber allerede om flere tillatelser enn de trenger, og nå har disse appene blitt tildelt enda flere tillatelser de ikke trenger!
Hver app får tilgang til Internett
Google har også gitt hver app tilgang til Internett, og fjerner effektivt tillatelsen til Internett-tilgang. Oh, sikkert, Android-utviklere har fortsatt å erklære at de vil ha tilgang til Internett når de setter sammen appen. Men brukere kan ikke lenger se tilgang til Internett-tilgang når du installerer en app, og nåværende apper som ikke har Internett-tilgang, kan nå få tilgang til Internett med en automatisk oppdatering uten å spørre deg.
Jo, de fleste apps trenger Internett-tilgang i disse dager, men ikke alle av dem. Du vil kanskje bruke en levende bakgrunnsbilde, lommelykt eller tastaturapp uten å gi den Internett-tilgang. Faktisk er en av sikkerhetsfunksjonene for tredjeparts tastaturer i Apples IOS 8 at disse tastaturene ikke kan få tilgang til Internett, med mindre du spesielt tillater dem. Alle tastaturer på Android kan nå få tilgang til Internett.
Android App Tillatelser ble ødelagt, uansett
Android's app-tillatelsessystem ble allerede ødelagt. Det er mindre av et tillatelsystem og mer av et etterspørselssystem. En app krever at det krever visse funksjoner, og du kan ta det eller la det gå. Du kan ikke velge om du vil gi en app noen tillatelser, men ikke andre. Android hadde faktisk en innebygd tillatelsesbehandling som ble jobbet på, men Google fjernet den. Nå kan bare personer som driver sine enheter og bruker Xposed Framework til å gjenvinne App Ops-funksjonen eller installere egendefinerte ROMer som CyanogenMod, kan administrere apptillatelser. Typiske Android-brukere er maktløse.
Mye av Android's app-tillatelsystem har nettopp blitt meningsløst. Hvorfor plage å ha et finkornet tillatelsystem der utviklere må be om tilgang til Internett og til individuelle tillatelser som "les SMS-meldinger"? Google kan bare like godt overføre Android app-tillatelser helt og gjøre apper forespørsel tilgang til grupper av tillatelser i stedet. I det minste ville de ikke gi oss en falsk følelse av sikkerhet!
Og hele tiden har Apples IOS et funksjonelt tillatelsystem som gir brukerne kontroll.
Nei, dette er ikke et angrep på Android fra en Apple fanboy. Jeg elsker Android og bruker en Nexus 4 som en smarttelefon, men jeg tror på å gi brukerne strøm. Android-brukere bør kunne velge hvilke apper som kan sende SMS-meldinger, eller om kameraprogrammer kan ta opp lyd. Nå kan vi ikke bare kontrollere tillatelser uten å rote eller installere en egendefinert ROM, og det nye tillatelsystemet gir oss enda mindre kraft.
Takket være iamtubeman på Reddit for å utforske dette viktige problemet og teste det. Googles forklaring av Android's nye forenklede apptillatelser finner du her.