Startpagina » hoe » De app-rechten van Android waren eenvoudigweg vereenvoudigd - nu zijn ze veel minder veilig

    De app-rechten van Android waren eenvoudigweg vereenvoudigd - nu zijn ze veel minder veilig

    Google heeft zojuist een enorme verandering aangebracht in de manier waarop app-machtigingen werken op Android. Apps die al op je apparaat staan, kunnen nu gevaarlijke toestemmingen krijgen met automatische updates. Toekomstige apps kunnen gevaarlijke toestemmingen krijgen zonder het u ook te vragen.

    Dit is allemaal te danken aan de nieuwste Play Store-update en de vereenvoudigde app-machtigingsinterface. Het kernidee hier - het maken van toestemmingen voor Android-apps begrijpelijk voor normale gebruikers - is goed. De implementatie is het grote probleem.

    Apps kunnen nu rechten toevoegen zonder u te hoeven vragen

    Google Play groepeert nu app-machtigingen in groepen verwante rechten. Een app die uw inkomende sms-berichten wil lezen, heeft bijvoorbeeld de machtiging "Lezen van sms-berichten" nodig. Wanneer je het via de Play Store installeert, zul je zien dat het vraagt ​​om de "SMS" toestemmingsgroep.

    Installeer de app en je geeft hem toegang tot alle sms-gerelateerde rechten. De app kan nu automatisch bijwerken en krijgt de mogelijkheid om sms-berichten te verzenden zonder u dit te vragen.

    Heb je apps op je apparaat waarvan je vertrouwt dat ze sms-berichten kunnen lezen, maar niet verzenden? Die apps kunnen nu de mogelijkheid krijgen om sms-berichten te verzenden zonder u daarom te vragen - de ontwikkelaar hoeft alleen de app te updaten.

    De enige manier om dit te voorkomen, is automatische updates uitschakelen en app-machtigingen handmatig controleren elke keer dat een app wil updaten - alsof dat een redelijke oplossing is! Als u dit doet, zult u ook verouderde versies van apps gebruiken, wat een ander beveiligingsprobleem is.

    Machtigingensgroepen bevatten zowel veilige als gevaarlijke rechten

    Het grote probleem is dat groepen zowel normale basisrechten als gevaarlijkere toestemmingen kunnen bevatten. Bijvoorbeeld:

    • Plaats: Een app die om uw geschatte netwerklocatie vraagt, kan nu toestemming krijgen om uw exacte locatie te volgen met de GPS van uw apparaat.
    • sms: Een app die alleen tekstberichten hoeft te ontvangen, kan nu toestemming krijgen om op de achtergrond sms-berichten te verzenden, wat mogelijk geld kost.
    • Telefoon: Een app die vraagt ​​om uw oproeplog te lezen, kan nu toestemming krijgen om uitgaande oproepen om te leiden en te voeren zonder u dit te vragen.
    • Foto's / Media / Bestanden: Een app die de inhoud van uw USB-opslag of SD-kaart moet lezen, kan nu uw volledige externe opslagapparaat formatteren.
    • Camera / Microfoon: Een app die toestemming heeft om foto's en video's te maken (bijvoorbeeld een camera-app) kan nu toestemming krijgen om audio op te nemen. De app kan naar je luisteren wanneer je andere apps gebruikt of wanneer het scherm van je apparaat is uitgeschakeld.

    Je wordt gevraagd om te bevestigen wanneer een app een nieuwe groep rechten vereist. Als je al toegang hebt verleend tot één machtiging van een groep, zijn alle weddenschappen uitgeschakeld en kan de app alle rechten in die groep krijgen.

    Enorme hoeveelheden Android-apps vragen al om meer rechten dan ze nodig hebben, en nu hebben die apps nog meer rechten gekregen die ze niet nodig hebben!

    Elke app krijgt internettoegang

    Google heeft ook elke app toegang tot internet gegeven, waardoor de toegang tot internet effectief is verwijderd. Oh, zeker, Android-ontwikkelaars moeten nog steeds verklaren dat ze internettoegang willen bij het samenstellen van de app. Maar gebruikers kunnen de toegang tot internet niet langer zien bij het installeren van een app en huidige apps die geen internettoegang hebben, kunnen nu internettoegang krijgen met een automatische update zonder u daarom te vragen.

    Natuurlijk hebben de meeste apps tegenwoordig toegang tot internet nodig, maar niet allemaal. Misschien wil je een live wallpaper-, flitslicht- of toetsenbord-app gebruiken zonder internettoegang. Een van de beveiligingsfuncties voor toetsenborden van derden in Apple's iOS 8 is dat die toetsenborden geen toegang hebben tot internet, tenzij u dit specifiek toestaat. Alle toetsenborden op Android hebben nu toegang tot internet.

    Android-app-machtigingen waren hoe dan ook verbroken

    Het app-toestemmingssysteem van Android was al verbroken. Het is minder een toestemmingssysteem en meer een vraagsysteem. Een app vereist dat deze bepaalde functies vereist, en u kunt deze gebruiken of achterlaten. Je kunt niet kiezen of je een app bepaalde rechten wilt geven, maar niet anderen. Android had eigenlijk een ingebouwde machtigingsmanager waaraan werd gewerkt, maar Google heeft deze verwijderd. Nu kunnen alleen mensen die hun apparaten rooten en het Xposed Framework gebruiken om de App Ops-functie te herwinnen of aangepaste ROM's zoals CyanogenMod te installeren, app-machtigingen beheren. Typische Android-gebruikers blijven machteloos.

    Een groot deel van het app-toestemmingssysteem van Android is zojuist zinloos gemaakt. Waarom zelfs moeite doen om een ​​fijnmazig toestemmingssysteem te hebben waarbij ontwikkelaars toegang moeten vragen tot internet en tot afzonderlijke toestemmingen zoals "lees SMS-berichten"? Google kan net zo goed Android-app-machtigingen opnieuw uitvoeren en ervoor zorgen dat apps in plaats daarvan toegang vragen tot groepen machtigingen. Ze zouden ons in ieder geval geen vals gevoel van veiligheid geven!

    En al die tijd heeft Apple's iOS een functioneel toestemmingssysteem dat gebruikers controle geeft.

    Nee, dit is geen aanval op Android van een Apple-fanboy. Ik ben dol op Android en gebruik een Nexus 4 als een smartphone, maar ik geloof dat het de kracht van de gebruiker is. Android-gebruikers moeten kunnen kiezen welke apps SMS-berichten kunnen verzenden en of camera-apps audio kunnen opnemen. Nu kunnen we niet alleen de machtigingen controleren zonder een aangepast ROM te rooten of te installeren, het nieuwe toestemmingssysteem geeft ons zelfs minder kracht.


    Met dank aan iamtubeman op Reddit voor het verkennen van deze belangrijke kwestie en het testen ervan. Google's uitleg over de nieuwe vereenvoudigde app-rechten van Android is hier te vinden.