Излишне широкие полномочия приложений Android

полномочия приложений AndroidДолгое время чрезмерно свободные разрешения мобильных приложений были проблемой безопасности и защиты конфиденциальности, особенно для тех пользователей Android, которые загружают приложения из нескольких источников, не только от Google.

Широкую известность получил прецедент с компанией Goldenshores Technologies LLC, согласившейся на досудебное урегулирование иска от Федеральной торговой комиссии США, в котором обвинялась в обмане потребителей, скачивавших приложение фонарика для Android. Приложение запрашивало у них излишнее количество разрешений, включая данные геолокации, которые передавались рекламным сетям.

Два дня назад, на ежегодной конференции Google I/O, Google анонсировала новую систему, которая появится на Android и сделает эту платформу чуть ближе к образу действий Apple. Эта система позволит пользователям загружать приложения без предоставления им прав. Во время использования приложения оно будет запрашивать у пользователя расширение своих полномочий.

Раньше мобильные приложения бывали слишком жадными, требуя доступ к списку контактов, к SMS-сообщениям, встроенным камерам и микрофонам, к галереям и так далее. Вредоносные приложения могут извлекать из этого пользу, отправляя, к примеру, премиумные SMS-сообщения, которые стоят больших денег пользователю и обеспечивают высокую прибыль преступнику. Разрешения обычно даются все сразу во время загрузки, и, как правило, пользователи, не очень сведущие в безопасности, соглашаются на все условия, которые им предъявляются, лишь бы побыстрее установить приложение.

В качестве иллюстрации британское управление комиссара по информации опубликовало в прошлом сентябре отчет, в котором изучило 1200 популярных приложений и разрешений, которые они требуют. Большая часть приложений (85%), как заключили авторы отчета, не объясняют пользователям как следует, какую информацию и как они собирают, как они ее используют и пересылают; в большинстве случаев даже наличие политики конфиденциальности весьма сомнительно.

Во время выступления, открывшего конференцию I/O, представитель Google сказал, что компания надеется на то, что новая система побудит разработчиков с самого начала учитывать соображения конфиденциальности и безопасности и требовать меньше данных от устройств и, следовательно, от пользователя. По новой системе пользователи будут единовременно решать, дать или отказать приложениям в определенных разрешениях, с пониманием того, что отказ может ограничить возможности и функциональность приложения.

«Надеюсь, это поможет пользователям уделять больше внимания приложениям и понимать воздействие на безопасность приложений, которые они устанавливают», — сказал Стив Манзюк (Steve Manzuik), директор по исследованиям информационной безопасности в Duo Security.

Google медленно двигалась в этом направлении с момента представления Android 5.0 Lollipop, в которой появилось принудительное применение политики на уровне ядра через SE Linux и было по умолчанию включено шифрование устройства. Оба этих шага помогают снизить риск чрезмерных полномочий, позволив ядру управлять разрешениями приложений.

Первый доклад Google о безопасности Android, выпущенный в апреле, содержит несколько точных цифр по эффективности других мер безопасности в этой ОС, в частности Verify Apps (бывший Bouncer) и Safety Net. Обе они сокращают число потенциально опасных приложений, которые пользователи могут загрузить из Google Play. К примеру, в отчете указано, что опасное приложение установлено менее чем на 1% Android-устройств и 0,15% устройств, которые загружали приложения только из Google Play, содержат установленное опасное приложение.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Излишне широкие полномочия приложений Android