Android App-tilladelser blev simpelt forenklet - nu er de meget mindre sikre

Google har netop lavet en enorm ændring i, hvordan app tilladelser fungerer på Android. Apper, der allerede findes på din enhed, kan nu få farlige tilladelser med automatiske opdateringer. Fremtidige apps kan få farlige tilladelser uden at spørge dig også.

Dette er alt takket være den seneste Play Store-opdatering og dens forenklede app-tilladelsesgrænseflade. Kernen ideen her - gør Android app tilladelser forståelig for normale brugere - er god. Implementeringen er det store problem.

Apps kan nu tilføje tilladelser uden at spørge dig

Google Play grupperer nu apptilladelser til grupper af beslægtede tilladelser. For eksempel kræver en app, der ønsker at læse dine indgående SMS-meddelelser, tilladelsen "Læs SMS-meddelelser". Når du installerer det via Play Butik, får du se det, der beder om tilladelsesgruppen "SMS".

Installer appen, og du giver den adgang til alle sms-relaterede tilladelser. App'en kan nu automatisk opdatere og få mulighed for at sende sms'er uden at spørge dig.

Har du apps på din enhed, som du har tillid til at læse sms'er, men ikke sende dem? Disse apps kan nu få mulighed for at sende sms'er uden at spørge dig om det - alt udvikleren skal gøre, er at opdatere appen.

Den eneste måde at forhindre dette på, er at deaktivere automatiske opdateringer og verificere apptilladelser manuelt hver gang en app ønsker at opdatere - som om det er en rimelig løsning! Hvis du gør dette, vil du også ende med at bruge forældede versioner af apps, hvilket er et andet sikkerhedsproblem.

Tilladelsesgrupper indeholder både sikre og farlige tilladelser

Det store problem er, at grupper kan indeholde både normale, grundlæggende tilladelser samt mere farlige tilladelser. For eksempel:

• Beliggenhed: En app, der beder om din omtrentlige netværksbaserede placering, kan nu få tilladelse til at spore din nøjagtige placering med enhedens GPS.
• SMS: En app, der kun skal modtage SMS-beskeder, kan nu få tilladelse til at sende sms'er i baggrunden, hvilket potentielt koster dig penge.
• telefon: En app, der beder om at læse din opkaldslog kan nu få tilladelse til at omdirigere udgående opkald og foretage telefonopkald uden at spørge dig.
• Billeder / Medier / Files: En app, der skal læses indholdet af dit USB-lager eller SD-kort, kan nu formatere hele din eksterne lagerenhed.
• Kamera / mikrofon: En app, der har tilladelse til at tage billeder og videoer (f.eks. En kameraapp), kan nu få tilladelse til at optage lyd. App'en kunne høre på dig, når du bruger andre apps, eller når enhedens skærm er slukket.

Du bliver bedt om at bekræfte, når en app kræver en ny gruppe tilladelser. Hvis du allerede har givet adgang til en enkelt tilladelse fra en gruppe, er alle væddemål slukket, og appen kan få alle tilladelser i den gruppe.

Enorme mængder af Android-apps anmoder allerede om flere tilladelser, end de har brug for, og nu er disse apps blevet tildelt endnu flere tilladelser, de ikke har brug for!

Hver app får internetadgang

Google har også givet hver app internetadgang, hvilket effektivt fjerner tilladelsen til internetadgang. Åh, det er sikkert, at Android-udviklere stadig skal erklære, at de vil have adgang til internettet, når de sætter sammen appen. Men brugere kan ikke længere få adgang til internettet, når de installerer en app, og aktuelle apps, der ikke har internetadgang, kan nu få internetadgang med en automatisk opdatering uden at spørge dig om.

Sikker på, de fleste apps har brug for internetadgang i disse dage, men ikke alle dem. Du kan muligvis bruge en levende tapet, lommelygte eller tastatur app uden at give det internetadgang. Faktisk er en af ​​sikkerhedsfunktionerne til tredjeparts tastaturer i Apples iOS 8, at disse tastaturer ikke kan få adgang til internettet, medmindre du specifikt tillader dem at. Alle tastaturer på Android kan nu få adgang til internettet.

Android App tilladelser blev brudt, alligevel

Android's app-tilladelsessystem var allerede brudt. Det er mindre af et tilladelsessystem og mere af et efterspørgselssystem. En app kræver, at den kræver visse funktioner, og du kan tage den eller forlade den. Du kan ikke vælge, om du vil give en app nogle tilladelser, men ikke andre. Android havde faktisk en indbygget tilladelsesadministrator, der blev arbejdet på, men Google fjernede det. Nu kan kun personer, der driver deres enheder og bruger Xposed Framework til at genvinde App Ops-funktionen eller installere brugerdefinerede ROM'er som CyanogenMod, der kan administrere apptilladelser. Typiske Android-brugere er efterladt magtesløse.

Meget af Android's app-tilladelsessystem er netop blevet gjort meningsløst. Hvorfor endda forstyrre at have et finkornet tilladelsessystem, hvor udviklere skal anmode om adgang til internettet og til individuelle tilladelser som "læse sms'er"? Google kan lige så godt gendanne Android App-tilladelser fuldstændigt og gøre apps anmodning adgang til grupper af tilladelser i stedet. I det mindste ville de ikke give os en falsk følelse af sikkerhed!

Og hele tiden har Apples IOS et funktionelt tilladelsessystem, der giver brugerne kontrol.

Nej, dette er ikke et angreb på Android fra en Apple fanboy. Jeg elsker Android og bruger en Nexus 4 som en smartphone, men jeg tror på at give brugerne strøm. Android-brugere skal kunne vælge, hvilke apps der kan sende sms'er, eller om kameraprogrammer kan optage lyd. Nu kan vi ikke kun kontrollere tilladelser uden rooting eller installere en brugerdefineret ROM, og det nye tilladelsessystem giver os endnu mindre strøm.

Takket være iamtubeman på Reddit for at udforske dette vigtige problem og afprøve det. Googles forklaring på Android's nye forenklede apptilladelser kan findes her.