r   e   k   l   a   m   a
r   e   k   l   a   m   a

Google Play upraszcza system uprawnień aplikacji Androida, dla bezpieczeństwa to katastrofa

Strona główna AktualnościOPROGRAMOWANIE

Android nie od dzisiaj ma problem z nadmiernymi uprawnieniami aplikacji, często żądających dostępu do takich funkcji systemu operacyjnego, które w ogóle nie powinny być im potrzebne. Google nie od dzisiaj obiecuje, że problem ten rozwiąże. Jednak najnowsza aktualizacja sklepu Play, w teorii podstawowego źródła aplikacji dla androidowych urządzeń, problemu nie tylko nie rozwiązuje, ale jeszcze go tylko pogarsza.

Wprowadzone zmiany upraszczają interfejs uprawnień aplikacji, wyświetlany przed ich instalacją ze sklepu Play. Sklep wyświetla je teraz w grupach powiązanych uprawnień. Przykładowo aplikacja, która wcześniej chciała sprawdzać kalendarz, teraz po prostu jest oznaczana jako domagająca się dostępu do grupy Kontakty/kalendarz. Aplikacja, która mogła odczytywać SMS-y, teraz żąda dostępu do grupy SMS. Zainstalowanie aplikacji daje jej dostęp do wszystkich uprawnień należących do danej grupy.

To niepokojąca zmiana. Oficjalnie chodzi o uczynienie uprawnień aplikacji androidowych bardziej zrozumiałymi dla Zwykłego Użytkownika, jednak daje spore możliwości twórcom złośliwego oprogramowania. Aplikacja, która wcześniej służyła do archiwizacji SMS-ów (z uprawnieniem do ich odczytywania), po aktualizacji może uzyskać możliwość wysyłania SMS-ów bez pytania użytkownika o zgodę – w końcu przyznał on wcześniej aplikacji wszystkie uprawnienia z grupy SMS.

r   e   k   l   a   m   a

Niestety bowiem, choć może i intencje Google'a były szlachetne, to ich wdrożenie skończyło się kompletnym pomieszaniem uprawnień niegroźnych z niebezpiecznymi. Wspomniana grupa SMS nie jest jedyną obarczoną tym problemem: wprowadzenie grupy Kamera/mikrofon oznacza, że aplikacja, która służyła kiedyś do robienia zdjęć, po aktualizacji może zacząć podsłuchiwać użytkownika. Wprowadzenie grupy Zdjęcia, multimedia i pliki prowadzi do sytuacji, w której aplikacja, która wcześniej mogła czytać pliki z karty SD, teraz może ją sformatować. Doszliśmy do sytuacji, w której aplikacje, które i tak miały zwykle zbyt wiele uprawnień, otrzymały ich jeszcze więcej.

Co więcej, przy okazji wprowadzonych zmian, Google w praktyce usunęło uprawnienie dostępu do Internetu. Informacje o tym uprawnieniu nie są wyświetlane przy jej instalacji, a aplikacje, które wcześniej uprawnienia tego nie miały, po aktualizacji je otrzymają. Google tłumaczy nieco pokrętnie, że współczesne aplikacje zwykle łączą się z internetem, więc uprawnienia związane z komunikacją sieciową (w tym „pełen dostęp do internetu”) zostały usunięte z ekranu podstawowych uprawnień. Czy jednak naprawdę klawiatura powinna w ogóle mieć możliwość łączenia się z Siecią, nie mówiąc już o takich gadżetach jak latarka?

Typowym użytkownikom pozostaje w tym momencie jedynie wyłączenie automatycznych aktualizacji z Play i ręczne weryfikowanie uprawnień aplikacji przy każdej jej aktualizacji. Ci, którzy wyzwolili swoje telefony i tablety z producenckich kajdan (czyli mają roota na urządzeniu), mogą zabezpieczyć się o wiele lepiej: mogą zainstalować porządny ROM, taki jak Cyanogen czy MIUI, dający użytkownikom pełną kontrolę nad uprawnieniami aplikacji poprzez mechanizm Privacy Guard. Jeśli nie chcą zmieniać ROM-u, to można skorzystać z menedżerów prywatności Xprivacy (wymagany framework Xposed) lub PDroid.

Pojawiają się w Sieci podejrzenia, że wprowadzone w Google Play zmiany są odpowiedzią na oczekiwania producentów oprogramowania, niechętnych temu, by użytkownikom dać zbyt dużą kontrolę nad tym, co dzieje się w ich telefonach. Zarazem umieszczenie uprawnień w nijako nazwanych grupach sprawia, że instalacja oprogramowania staje się dla Zwykłego Użytkownika mniej niepokojąca, więc rośnie prawdopodobieństwo, że zakupi on aplikację z oficjalnego źródła. Z biznesowego punktu widzenia nie jest to więc błąd, lecz element szerszej strategii, mającej na celu uczynienie z Androida atrakcyjniejszego celu dla deweloperów niż iOS Apple'a.

System uprawnień w iOS-ie nie jest bowiem zbyt przyjemny dla producentów oprogramowania. Instalując aplikację na iOS-ie, przyznaje się jej pewien zbiór podstawowych uprawnień (np. dostępu do Sieci). Jeśli aplikacja chce uzyskać dostęp do wrażliwych komponentów systemu, to za pierwszym razem musi otwarcie tego zażądać (np. aplikacja mapowa musi zgłosić, że chce dostępu do usług lokalizacyjnych). Użytkownik może się na to nie zgodzić – a aplikacja będzie dalej działała, po prostu bez możliwości korzystania z GPS. Dodatkowo iOS pozwala na zarządzanie przyznanymi uprawnieniami, pozwalając użytkownikowi łatwo je wycofać. Z tego powodu producenci oprogramowania na iOS-a muszą się zastanowić, zanim zażądają uprawnień. Być może komuś włączyłby się alarm, gdyby prosta gra nagle zażądała dostępu do Kontaktów użytkownika, i grę taką po prostu odinstalował.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.