Sistemul de permisiuni din Google Play e mai defect ca niciodată

de: Alexandru Puiu
14 06. 2014

Odată cu schimbările introduse de Google zilele trecute în , sistemul de permsiuni a devenit mai defect ca niciodată.

Niciodată nu am fost încântat de securitatea datelor oferite de un dispozitiv cu Android, iar schimbările introduse zilele trecute, cu siguranţă nu mi-au sporit încrederea. Ascunse în spatele unui văl de simplitate sunt nişte modificări care vă pun în pericol o mare parte din informaţiile pe care le aveţi stocate într-un telefon sau tabletă. Dacă în numeroase alte situaţii părerile, vizavi de actualizarea unui serviciu online, sunt împărţite, de această dată, Google a dezamăgit pe toată lumea. Aceste rânduri par deja răutăcioase, aşa că mai bine detaliem care este problema. La prima vedere, noua interfaţă de cerere a permisiunilor, care apare atunci când instalaţi o aplicaţie, este mult mai simplă. Aceasta a fost şi scopul celor de la Google. Datele la care o aplicaţie cere acces sunt împărţite pe categorii într-un mod în care utilizatorii fără înclinaţii către tehnologie le pot înţelege mai uşor. Ideea este de apreciat, implementarea este însă incredibil de defectuoasă. Subit, aplicaţii pe care le aveţi pe telefon, printr-un update realizat automat, pot câştiga drepturi noi şi vă pot pune în pericol o mare parte din conţinutul şi informaţiile legate de al vostru Android. Aceasta este însă cea mai mică problemă.

Cum ajung aplicaţiile voastre să fie mai puternice?

Google Play, de câteva zile, împarte permisiunile similare sau din acelaşi spectru în grupuri. În loc să vedeţi că o aplicaţie vrea să vă citească SMS-urile, acum vedeţi doar un singur cuvânt într-o listă similară cu cea din captura de mai sus. Cuvântul este SMS, iar în momentul în care v-aţi dat acordul pentru instalarea respectivului program, aţi acceptat implicit ca o aplicaţie să interacţioneze, pe viitor, în orice mod cu ale voastre mesaje scrise. Cu alte cuvinte, deşi iniţial o aplicaţie necesita doar să vă citească baza de date cu SMS-uri, printr-un update ulterior realizat automat, poate să câştige dreptul, fără să vă mai întebe, să şi trimită SMS-uri. Motivul? Atât cititul cât şi trimisul de mesaje fac parte din aceeaşi categorie pentru care v-aţi dat acordul la instalare. Aveţi deja aplicaţii pe telefon cărora nu le-aţi permis în trecut să trimită mesaje, dar v-aţi dat acordul să le citească. Aţi făcut-o degeaba. Printr-o actualizare, acele programe au câştigat şi funcţia interzisă de voi iniţial. Singurul mod prin care puteţi preveni această gaură enormă de securitate este să dezactivaţi realizarea de update-uri în mod automat şi să verificaţi manual permisiunile când instalaţi voi fiecare actualizare în parte. Dacă aceasta nu vi se pare o soluţie rezonabilă, nu faceţi griji, nu sunteţi singuri. În plus, dacă nu mai faceţi update-uri automate, riscaţi şi să folosiţi versiuni vechi ale unor programe ce pot veni cu alte vulnerabilităţi.

Grupurile de permsiuni includ drepturi de orice fel

Ideea categoriilor de permisiuni ar fi fost avantajoasă daca gradul de importanţă al permisiunilor individuale din acea categorie ar fi fost similar. Din păcate, sunt puse împreună permisiuni de bază, uzuale, cu unele mult mai periculoase pe care, în alte condiţii, probabil că nu le-aţi fi acceptat. Mai jos am detaliat câteva exemple. Locaţie: O aplicaţie care are nevoie de locaţia voastră aproximativă  pentru a vă oferi conţinut personalizat sau informaţii despre vremea din zonă, câştigă implicit dreptul să vă urmărească locaţia exactă prin GPS. SMS: O aplicaţie care are nevoie să primească mesaje de acum poate avea abilitatea, printr-un update, să trimită mesaje SMS în fundal, putând în final să vă coste bani. Telefon: O aplicaţie care are nevoie să vă citească apelurile recente, de acum poate să vă redirecţioneze apelurile realizate şi să iniţieze apeluri fără acordul vostru. Fotografii/Media/Fişiere: O aplicaţie care are nevoie să vă acceseze conţinutului salvat pe telefon sau pe un card MicroSD din aceasta, poate fără probleme să vă formateze mediul de stocare extern. Cameră/Microfon: O aplicaţie pe care o folosiţi pentru a captura fotografii şi filme poate acum să dobândească abilitatea să funcţioneze ca reportofon, înregistrându-vă vocea. De asemenea, vă poate înregistra când folosiţi alte aplicaţii sau când ecranului aparatului este închis. Veţi fi întrebat doar dacă o aplicaţie are nevoie să acceseze o permisiune dintr-un grup nou. Dacă v-aţi dat deja accesul pentru una dintre permisiunile dintr-un grup, automat, totul este permis. La ora actuală, foarte multe aplicaţii de Android necesită un număr foarte mare de permisiuni la care în mod normal nu ar trebui să aibă acces. Cu aceste schimbări, acele aplicaţii au câştigat şi mai multe drepturi.

Orice aplicaţie are acces la internet, implicit

Orice aplicaţie care vrea să profite de conexiunea voastră la internet, nu mai are nevoie de nici o permisiune, deoarece aceasta nu mai există. Google a desfiinţat acest tip de permisiuni, fiind acordate implicit oricărui program. De partea cealaltă a baricadei, un dezvoltator trebuie să declare că are nevoie de acces la internet când publică o aplicaţie pe Google Play. Din păcate respectiva informaţie nu mai ajunge la utilizatori. În plus, o aplicaţie care în trecut nu avea nevoie de o conexiune la internet, printr-un update poate câştiga acest drept fără să fiţi avertizaţi în vreun fel.

Un sistem care era defect oricum

S-a scris mult despre problemele incluse în sistemul de permisiuni din Android cu mult înainte de acest update. Din multe puncte de vedere, acesta nici nu poate fi clasificat ca un sistem de permisiuni, ci mai degrabă de obligaţii. O aplicaţie vă aduce la cunoştinţă că are nevoie de permisiuni, nu sunteţi de acord să fiţi sănătoşi, nu o mai puteţi folosi. Nu aveţi dreptul să alegeţi dacă veţi acorda un anumit tip de permisiuni unei aplicaţii, dar nu altei. Partea cea mai dubioasă este că la un moment dat exista un sistem elaborat de acordat permisiuni pe Android, dar Google a decis să-l elimine. Singura soluţie să câştigaţi un pic de control asupra permisiunilor de care au nevoie aplicaţiile de pe telefoane sau tabletele voastre cu Android implică instalarea un ROM custom precum CyanogenMod. Utilizatorii obişnuiţi care nu apelează la artificii precum rooting, sunt neajutoraţi. Concluzia este cât se poate de simplă. Întregul sistem de permisiuni folosit de aplicaţiile de Android este complet inutil. Nu mai are nici un rost ca un program să vă ceară acordul să primească SMS-uri sau să vă facă fotografii, atâta timp cât oricum permisiunea respectivă înseamnă de 10 ori mai mult. Acum vorbim doar de o iluzie a securităţii, atât.

De ce scenariile de mai sus nu sunt absurde?

Chiar dacă toate detaliile descrise mai sus sunt atât de periculoase pe cât îşi doresc dezvoltatorii de aplicaţii, riscul este cât se poate de real. Nici la această oră nu există un sistem de aprobare foarte elaborat al aplicaţiilor, similar cu ceea ce există pe AppStore-ul Apple. În continuare există malware în magazinul virtual al Google. Cea mai recentă dovadă a acestei realităţi vine sub forma valului de cu ocazia Campionatului Mondial de Fotbal. Momentan, Google scoate aplicaţii din Google Play pe bază de sesizări, fapt confirmat şi în documentul care explică în detaliu schimbările la sistemul de permisiuni. ,,Google elimină aplicațiile care încalcă aceste politici. De asemenea, Google are sisteme care analizează aplicațiile noi, aplicațiile deja disponibile pe Google Play și conturile dezvoltatorilor.” Dacă vreţi să fiţi uimiţi cât de aiurea a calculat gigantul din Mountain View utilitatea acestui update la sistemul de permisiuni, întregul document în limba română este disponibil aici.