Homepage » come » Le autorizzazioni delle app di Android sono state semplificate e ora sono molto meno sicure

    Le autorizzazioni delle app di Android sono state semplificate e ora sono molto meno sicure

    Google ha apportato un enorme cambiamento al modo in cui le autorizzazioni delle app funzionano su Android. Le app già presenti sul tuo dispositivo ora possono ottenere autorizzazioni pericolose con gli aggiornamenti automatici. Le app future possono ottenere permessi pericolosi senza chiedere anche a te.

    Tutto questo grazie all'ultimo aggiornamento di Play Store e alla sua interfaccia semplificata per l'autorizzazione delle app. L'idea centrale qui - rendere le autorizzazioni delle app Android comprensibili agli utenti normali - è buona. L'implementazione è il grosso problema.

    Le app ora possono aggiungere permessi senza chiederti

    Google Play ora raggruppa le autorizzazioni delle app in gruppi di autorizzazioni correlate. Ad esempio, un'app che vuole leggere i tuoi messaggi SMS in arrivo richiederà l'autorizzazione "Leggi i messaggi SMS". Quando lo installi tramite il Play Store, lo vedrai chiedere il gruppo di autorizzazioni "SMS".

    Installa l'app e gli dai accesso a tutte le autorizzazioni relative agli SMS. L'app ora può essere aggiornata automaticamente e avere la possibilità di inviare messaggi SMS senza chiederti.

    Sul tuo dispositivo hai app di cui ti fidi a leggere i messaggi SMS, ma non li invii? Quelle app ora possono ottenere la possibilità di inviare messaggi SMS senza che tu ti chieda - tutto ciò che lo sviluppatore deve fare è aggiornare l'app.

    L'unico modo per evitare che ciò accada è disattivare gli aggiornamenti automatici e verificare manualmente le autorizzazioni delle app ogni volta che un'app vuole aggiornarle, come se fosse una soluzione ragionevole! Se lo fai, finirai anche per utilizzare versioni obsolete delle app, che è un altro problema di sicurezza.

    I gruppi di autorizzazioni contengono autorizzazioni sia sicure che pericolose

    Il grosso problema è che i gruppi possono contenere sia permessi di base normali che autorizzazioni più pericolose. Per esempio:

    • Posizione: Un'app che richiede la tua posizione approssimativa, basata sulla rete, può ora ottenere l'autorizzazione per tracciare la tua posizione esatta con il GPS del tuo dispositivo.
    • sms: Un'app che deve solo ricevere messaggi di testo ora può ottenere il permesso di inviare messaggi SMS in background, potenzialmente a costo di denaro.
    • Telefono: Un'app che chiede di leggere il registro delle chiamate ora può ottenere l'autorizzazione per reindirizzare le chiamate in uscita e effettuare chiamate telefoniche senza chiedere informazioni.
    • Foto / Media / Files: Un'app che deve leggere il contenuto della memoria USB o della scheda SD ora può formattare l'intero dispositivo di archiviazione esterno.
    • Camera / Microphone: Un'app che ha il permesso di scattare foto e video (ad esempio un'app Fotocamera) può ora ottenere il permesso di registrare l'audio. L'app può ascoltarti quando usi altre app o quando lo schermo del tuo dispositivo è spento.

    Ti verrà chiesto di confermare quando un'applicazione richiede un nuovo gruppo di autorizzazioni. Se hai già concesso l'accesso a una singola autorizzazione da un gruppo, tutte le scommesse sono disattivate e l'app può ottenere tutte le autorizzazioni in quel gruppo.

    Enormi quantità di app Android richiedono già più permessi del necessario, e ora a quelle app sono state concesse anche più autorizzazioni di cui non hanno bisogno!

    Ogni app ottiene l'accesso a Internet

    Google ha inoltre fornito ad ogni app l'accesso a Internet, rimuovendo efficacemente il permesso di accesso a Internet. Oh, certo, gli sviluppatori Android devono ancora dichiarare di volere l'accesso a Internet quando mettono insieme l'app. Ma gli utenti non possono più vedere il permesso di accesso a Internet quando installano un'app e le app attuali che non dispongono di accesso a Internet possono ora ottenere l'accesso a Internet con un aggiornamento automatico senza richiedere all'utente.

    Certo, la maggior parte delle app ha bisogno di accesso a Internet in questi giorni, ma non tutte. È possibile che si desideri utilizzare una carta da parati dal vivo, una torcia elettrica o un'applicazione per tastiera senza fornire accesso a Internet. In effetti, una delle funzionalità di sicurezza per le tastiere di terze parti in iOS 8 di Apple è che quelle tastiere non possono accedere a Internet a meno che non le autorizzi espressamente. Tutte le tastiere su Android ora possono accedere a Internet.

    Le autorizzazioni delle app Android sono state interrotte, comunque

    Il sistema di autorizzazione delle app di Android era già rotto. È meno di un sistema di autorizzazione e più di un sistema di domanda. Un'app richiede che siano necessarie determinate funzionalità e che tu possa prenderle o lasciarle. Non puoi scegliere se vuoi dare a un'app alcune autorizzazioni ma non altre. In realtà, Android aveva un gestore dei permessi incorporato su cui si stava lavorando, ma Google lo ha rimosso. Ora solo le persone che eseguono il root dei dispositivi e utilizzano Xposed Framework per riacquisire la funzione App Ops o installare ROM personalizzate come CyanogenMod possono gestire i permessi delle app. Gli utenti Android tipici sono rimasti impotenti.

    Gran parte del sistema di autorizzazione delle app di Android è stato appena reso privo di significato. Perché preoccuparsi anche di avere un sistema di autorizzazioni a grana fine in cui gli sviluppatori devono richiedere l'accesso a Internet e alle autorizzazioni individuali come "leggere i messaggi SMS"? Google potrebbe anche ripetere completamente le autorizzazioni delle app Android e fare in modo che le app richiedano l'accesso ai gruppi di permessi. Almeno non ci avrebbero dato un falso senso di sicurezza!

    E per tutto il tempo, iOS di Apple ha un sistema di permessi funzionali che fornisce agli utenti il ​​controllo.

    No, questo non è un assalto ad Android da parte di un fanboy di Apple. Adoro Android e uso un Nexus 4 come smartphone, ma credo nel dare potere agli utenti. Gli utenti Android dovrebbero essere in grado di scegliere quali applicazioni possono inviare messaggi SMS o se le app della fotocamera possono registrare audio. Ora, non solo non possiamo controllare le autorizzazioni senza il rooting o l'installazione di una ROM personalizzata, il nuovo sistema di autorizzazione ci dà ancora meno energia.


    Grazie a iamtubeman su Reddit per aver esplorato questo importante problema e averlo testato. La spiegazione di Google delle nuove autorizzazioni per app semplificate di Android può essere trovata qui.