Quyền của ứng dụng Android đã được đơn giản hóa - Hiện tại chúng kém an toàn hơn nhiều

Google vừa thực hiện một thay đổi lớn đối với cách thức hoạt động của quyền ứng dụng trên Android. Các ứng dụng đã có trên thiết bị của bạn giờ đây có thể có được các quyền nguy hiểm với các bản cập nhật tự động. Các ứng dụng trong tương lai có thể có được các quyền nguy hiểm mà không cần hỏi bạn.

Tất cả là nhờ bản cập nhật Play Store mới nhất và giao diện cấp phép ứng dụng đơn giản hóa. Ý tưởng cốt lõi ở đây - làm cho quyền ứng dụng Android trở nên dễ hiểu đối với người dùng bình thường - là tốt. Việc thực hiện là một vấn đề lớn.

Ứng dụng có thể thêm quyền mà không cần hỏi bạn

Google Play hiện nhóm các quyền ứng dụng thành các nhóm quyền liên quan. Ví dụ: một ứng dụng muốn đọc tin nhắn SMS đến của bạn sẽ yêu cầu quyền của SMS Đọc tin nhắn SMS. Khi bạn cài đặt nó qua Cửa hàng Play, bạn sẽ thấy nó yêu cầu nhóm quyền SMS SMS.

Cài đặt ứng dụng và bạn sẽ cấp cho nó quyền truy cập vào tất cả các quyền liên quan đến SMS. Bây giờ, ứng dụng có thể tự động cập nhật và có khả năng gửi tin nhắn SMS mà không cần hỏi bạn.

Bạn có ứng dụng trên thiết bị của mình mà bạn tin tưởng để đọc tin nhắn SMS, nhưng không gửi chúng không? Những ứng dụng đó giờ đây có thể có khả năng gửi tin nhắn SMS mà không cần nhắc bạn - tất cả những gì nhà phát triển phải làm là cập nhật ứng dụng.

Cách duy nhất để ngăn chặn điều này xảy ra là vô hiệu hóa cập nhật tự động và xác minh quyền truy cập ứng dụng theo cách thủ công mỗi khi ứng dụng muốn cập nhật - như thể đó là một giải pháp hợp lý! Nếu bạn làm điều này, bạn cũng sẽ sử dụng các phiên bản ứng dụng lỗi thời, đây là một vấn đề bảo mật khác.

Nhóm quyền chứa cả quyền an toàn và nguy hiểm

Vấn đề lớn là các nhóm có thể chứa cả quyền bình thường, quyền cơ bản cũng như quyền hạn nguy hiểm hơn. Ví dụ:

• Vị trí: Một ứng dụng yêu cầu vị trí gần đúng, dựa trên mạng của bạn giờ đây có thể được phép theo dõi vị trí chính xác của bạn bằng GPS của thiết bị.
• tin nhắn: Một ứng dụng chỉ cần nhận tin nhắn văn bản giờ đây có thể có quyền gửi tin nhắn SMS ở chế độ nền, có khả năng khiến bạn mất tiền.
• Điện thoại: Một ứng dụng yêu cầu đọc nhật ký cuộc gọi của bạn giờ đây có thể được phép định tuyến lại các cuộc gọi đi và thực hiện các cuộc gọi điện thoại mà không hỏi bạn.
• Ảnh / Phương tiện / Tệp: Một ứng dụng cần đọc nội dung của bộ lưu trữ USB hoặc thẻ SD của bạn hiện có thể định dạng toàn bộ thiết bị lưu trữ ngoài của bạn.
• Camera / Micrô: Một ứng dụng có quyền chụp ảnh và quay video (ví dụ: ứng dụng camera) giờ đây có thể có quyền ghi lại âm thanh. Ứng dụng có thể lắng nghe bạn khi bạn sử dụng các ứng dụng khác hoặc khi màn hình thiết bị của bạn tắt.

Bạn sẽ được yêu cầu xác nhận khi một ứng dụng yêu cầu một nhóm quyền mới. Nếu bạn đã được cấp quyền truy cập vào một quyền duy nhất từ ​​một nhóm, tất cả các cược đã tắt và ứng dụng có thể nhận được tất cả các quyền trong nhóm đó.

Một lượng lớn ứng dụng Android đã yêu cầu nhiều quyền hơn mức cần thiết và hiện tại các ứng dụng đó đã được cấp nhiều quyền hơn mà họ không cần!

Mọi ứng dụng đều có quyền truy cập Internet

Google cũng đã cấp cho mỗi ứng dụng quyền truy cập Internet, loại bỏ hiệu quả quyền truy cập Internet. Ồ, chắc chắn, các nhà phát triển Android vẫn phải tuyên bố họ muốn truy cập Internet khi kết hợp ứng dụng. Nhưng người dùng không còn có thể thấy quyền truy cập Internet khi cài đặt ứng dụng và các ứng dụng hiện tại không có quyền truy cập Internet giờ đây có thể truy cập Internet bằng bản cập nhật tự động mà không cần nhắc bạn.

Chắc chắn, hầu hết các ứng dụng cần truy cập Internet những ngày này, nhưng không phải tất cả chúng. Bạn có thể muốn sử dụng hình nền sống, đèn pin hoặc ứng dụng bàn phím mà không cho phép truy cập Internet. Trên thực tế, một trong những tính năng bảo mật cho bàn phím của bên thứ ba trong iOS 8 của Apple là những bàn phím đó không thể truy cập Internet trừ khi bạn đặc biệt cho phép chúng. Tất cả các bàn phím trên Android hiện có thể truy cập Internet.

Quyền ứng dụng Android đã bị hỏng, dù sao đi nữa

Hệ thống cấp phép ứng dụng của Android đã bị hỏng. Đó là ít hơn một hệ thống cấp phép và nhiều hơn một hệ thống nhu cầu. Một ứng dụng yêu cầu nó yêu cầu một số tính năng nhất định và bạn có thể lấy nó hoặc bỏ nó. Bạn không thể chọn xem bạn có muốn cung cấp cho ứng dụng một số quyền chứ không phải cho người khác. Android thực sự đã có trình quản lý cấp phép tích hợp đang hoạt động, nhưng Google đã gỡ bỏ nó. Bây giờ chỉ những người root thiết bị của họ và sử dụng Xposed Framework để lấy lại tính năng Ops của ứng dụng hoặc cài đặt ROM tùy chỉnh như CyanogenMod mới có thể quản lý quyền của ứng dụng. Người dùng Android điển hình là bất lực.

Phần lớn hệ thống cấp phép ứng dụng của Android đã trở nên vô nghĩa. Tại sao thậm chí còn bận tâm đến việc có một hệ thống cấp phép chi tiết, nơi các nhà phát triển phải yêu cầu quyền truy cập vào Internet và các quyền riêng lẻ như xóa tin nhắn SMS đọc tin nhắn SMS? Google cũng có thể làm lại toàn bộ quyền của ứng dụng Android và làm cho ứng dụng yêu cầu quyền truy cập vào các nhóm quyền thay thế. Ít nhất là họ sẽ không cho chúng ta cảm giác an toàn sai lầm!

Và trong khi đó, iOS của Apple có một hệ thống cấp phép chức năng cho phép người dùng kiểm soát.

Không, đây không phải là một cuộc tấn công vào Android từ một fanboy của Apple. Tôi yêu Android và sử dụng Nexus 4 như một điện thoại thông minh, nhưng tôi tin vào việc mang lại cho người dùng sức mạnh. Người dùng Android sẽ có thể chọn ứng dụng nào có thể gửi tin nhắn SMS hoặc liệu ứng dụng camera có thể ghi lại âm thanh hay không. Giờ đây, không chỉ chúng ta không thể kiểm soát các quyền mà không cần root hoặc cài đặt ROM tùy chỉnh, hệ thống cấp phép mới còn cung cấp cho chúng ta ít năng lượng hơn.

Cảm ơn iamtubeman trên Reddit đã khám phá vấn đề quan trọng này và thử nghiệm nó. Có thể tìm thấy lời giải thích của Google về các quyền ứng dụng đơn giản hóa mới của Android tại đây.