Чому для додатків ліхтарика Android потрібні десятки дозволів?

Ніхто не повинен завантажувати додаток для ліхтарика у Рік Господа нашого 2019 - тому і Google, і Apple інтегрували цю здатність у свої пристрої як частину базової операційної системи. Дослідник безпеки Avast Луїс Корронс вирішив оцінити безпеку програм ліхтарика після хвилі занепокоєння навколо російського програмного забезпечення Faceapp. Згідно з його роботою, в Google Play досі є 937 ліхтарикових додатків, незважаючи на те, що можливості ліхтарика виводяться в ОС Android. Багато з цих програм вимагають набагато більше дозволів у кінцевих користувачів, ніж коли-небудь потрібно для їх функціонування.

Замість того, щоб обмежуватися функціями, від яких ви очікуєте, що вам потрібен ліхтарик (перейдіть до самого світлодіодного спалаху, завантажуйте рекламу з Інтернету та доступ до блокованого екрану, щоб ліхтарик можна було вмикати чи вимикати, не розблоковуючи пристрій), багато з ці додатки просять набагато більше. Середня кількість дозволів, які запитує програма, становить 25. 408 додатків вимагають 10 дозволів або менше, але 262 з них вимагають 50 дозволів або більше. У таблиці нижче показано найгірших правопорушників:

Тепер, тому що програма вимагає багато дозволів, це не означає, що вона вимагає їх з нечестивими цілями. Але коли Корронс заглибився, питання продовжували погіршуватися. Велика кількість програм вимагає дозволу вбивати фонові процеси, отримувати доступ до ваших дрібнозернистих даних про місцеположення, контролювати з'єднання Bluetooth, записувати аудіо, завантажувати дані без повідомлення та писати у свій список контактів. Кілька навіть обробляють вхідні дзвінки.

Як обговорює Корронс, причина цих програм у таких смішних дозволах полягає не в тому, що вони насправді намагаються підключити вас нігерійськими князями з великими статками, якими можна розпоряджатися. Це, безсумнівно, вони можуть збирати дані, а потім продавати їх іншим фірмам у рамках своїх зусиль з нескінченної монетизації всього людського існування. Він розглядає, як деякі з цих додатків розробляються студіями з декількома багатомільйонними завантаженнями в магазині додатків. Усі додатки вимагають однакових інвазивних дозволів, і вони майже напевно перенаправляють дані в ту саму невидиму групу партнерів.

Google, звичайно, може зупинити подібний сміття на своїх слідах, змусивши розробників додатків запитувати лише дозволи, які вони можуть правдоподібно довести, що вони потрібні, і посиливши процес затвердження, щоб зробити такий розповсюджений збір даних відповідно до власних умов сервіс. Google цього не робить, оскільки це застереже людей про те, яка частина власного щоденного використання пристрою завантажується в сторонні корпорації в першу чергу. Компанії, які використовують переваги невимушених вимог дозволу користувача, не використовують лазівку; вони використовують систему таким чином, як вона призначена для роботи. Корронс зазначає, що вкрай важливо, щоб користувачі були обізнані про те, які дозволи вимагають їх програми. Це правда, але це також ставить поштовх для вирішення проблеми виключно на кінцевого користувача.

Google дозволив зловживати його магазинами додатків людьми, які застосовують масштабні режими збирання даних - і Google вирішує цю проблему, а не кінцеві користувачі. Ніхто не повинен завантажувати програму ліхтарика на сучасний пристрій. Але Google не повинен дозволяти програмам запитувати дозволи, які вони також не вимагають від бізнесу.

Чому для додатків ліхтарика Android потрібні десятки дозволів?

Читати далі

AMD досягає частки ринку, яку вона не проводила протягом десятиліття

Земля крутиться швидше після десятиліть уповільнення

Арктика планує випустити першу нову термопасту майже за десятиліття

Intel Unleashed: нові Fabs, Tick-Tock повертається, найбільший капітальний ремонт протягом десятиліть