: UEFIMA.RU: Google недавно внес огромное изменение в принцип работы разрешений приложения на устройствах Android, что открыло вероятную лазейку для злонамеренных разработчиков приложений и хакеров. Google свел 145 разрешений Android к 13 широким категориям и объединил разрешения приложений в группы родственных разрешений, чтобы пользователям Android было проще разобраться с разрешениями приложений.К несчастью, новое обновление привнесло ряд проблем безопасности и конфиденциальности:
- скрытие разрешений за названиями групп.
- автоматическое обновление приложения без уведомления о новых разрешениях.
В результате обновления пользователь, одобряя разрешения приложения, фактически одобряет соответствующие полные группы разрешений. Например, если приложение хочет читать входящие смс, то оно требует разрешения «Читать смс сообщения». Но теперь, устанавливая такое приложение, вы в действительности даете ему доступ ко всем разрешениям, относящимся к смс.
Разработчик приложения может впоследствии включить дополнительные разрешения из группы разрешений, связанных с смс, в будущее обновление, что не вызовет никаких предупреждений перед установкой. Google поясняет: «Если вы включили автоматическое обновление, то вам не придется заново проверять и одобрять разрешения, если они входят в группу разрешений, которую вы уже одобрили для этого приложения».
Если ваши приложения Android обновляются автоматически, то злонамеренные разработчики могут получить доступ к новым опасным разрешениям без вашего ведома, злоупотребляя рассмотренным механизмом. Проницательный пользователь может вручную просмотреть все разрешения в выпадающем списке перед установкой, но так поступает лишь один из тысячи.
Допустим, если вы устанавливаете приложение с групповыми разрешениями на чтение контактов, позже это приложение может тайно получить разрешение на добавление или даже изменение записей календаря.
Ниже перечислены некоторые разрешения приложений Android, которыми киберпреступники чаще всего злоупотребляют ради личной выгоды:
- Определение местоположения по GPS и по сети.
- Чтение состояния и идентификационных данных телефона.
- Автоматический запуск при загрузке.
- Изменение/удаление содержимого карты памяти SD.
- Чтение/отправка смс.
- Чтение/изменение контактов.
Настоятельно рекомендуется отключить автоматическое обновление и вручную проверять разрешения приложения каждый раз, когда оно хочет обновиться.
Опубликовано 2014-07-05.
