Скорошни промени в Play Store тревожат специалисти

3
17


Специалисти по инфозащита са сериозно притеснени от вероятността Google да са застрашили безопасността на потребителите на магазина за приложения за Android с осъществена през май промяна на условията за качване на приложения и обновления за тях от страна на разработчиците.

Google имат ясни политики към хората, които искат да качат приложения в Play Store относно привилегиите, които изисква техния продукт и декларирането на тези изисквания пред потребителя. Това е и една от причините, поради които приложенията, които сваляте от официалния магазин да бъдат считани за по-сигурни – тяхната прозрачност към потребителя – възможността да сте наясно с това какви права ще ползват те на устройството ви. Само че разработчиците на приложения искат техните приложения да имат все по-голяма свобода, а отделно от това много потребители не обръщат особено внимание на това какви права иска дадено приложение и одобряват всичко, но има и други, които са внимателни, и именно възможността да знаят предварително какви права иска приложението е техния щит срещу неочаквани изненадани.

Но в средата на май Google пуснаха обновление на политиката засягаща това положение и специалистите от компанията за информационна и интернет сигурност Trend Micro споделят притесненията си от въпросните промени в специална публикация в блога на компанията.

„Досега (преди въвеждането на въпросните промени в Play Store), ако обновление към приложение добавя промяна в правата, които иска, на потребителя се предоставя изрично възможността да прегледа въпросните промени и да ги одобри сякаш наново инсталира приложение. Но вече не е така“, пише Вео Янг от Trend Micro и продължава: „Вече, ако въпросните изменения са в същата група, на която потребителя е дал разрешение, това изрично одобрение вече не се изисква. Ако е включена възможността за авто-обновяване, приложението си се обновява във фонов режим, като при това положение потребителя остава в неведение относно наложените промени“.

Въпросните промени привидно са насочени към повече удобство и функционалност. Така например всички разрешения свързани с локационни услуги попадат в една и съща група. Разрешенията за уолпейпъри – в друга, а тези засягащи съхранението на информация – в трета – общо 31 на брой групи, като на 13 от тях е обърнато специално внимание от Google в специална секция в друга публикация.

Това, по думите, на Янг, улеснява значително процеса по одобряване на правата и опростява нещата за потребителя, но може и да е предпоставка за възникването на проблем. „Вече е лесно, тривиално, дори да разработите приложение, което в началото иска съвсем „невинни“ права, а след това да интегрира изискване за права, които ще са нужни за нанасянето на зловреден ефект върху вас“, обяснява Янг, давайки пример с приложение за светкавицата. Правилата за разрешение за светкавицата са в същата група на аудио/видео приложенията. По този начин това приложение би могло да бъде обновено с функционалност, която му позволява да записва аудио и видео, като потребителят няма да е уведомен за това. Интересно е, че в същата група попадат и разрешението за четене на данни от външно устройство, правото да модифицира и трие съдържание от това устройство, да го форматира, да го монтира и демонтира.

Един от големите проблеми според специалистите, изхождащи от тези „улесняващи“ нововъведения е че давайки на приложението права да чете, вие му давате правата и да променя данните.

„По един съвсем реален начин, всичко това нарушава самата идея за даването на разрешения за ползване на права и ги прави безсмислени. Вече е много трудно за потребителя да контролира дадено приложение на основата на даването на разрешение за ползване на права, тъй като всяка категория е толкова обща, че вече е напълно възможно и най-простото приложение да изисква множество разрешения и ползва широки права. И от друга страна, вече става извънредно лесно за разработчик на приложение да вмъкне изискване за достъп на приложението до неразрешени му при инсталацията му права без да бъде уведомен потребителят за това, които и промени да се окажат зловредни. Това означава, че се разчита вече много повече на други методи за контрол на поведението на приложението, като например Google Bouncer и верификацията на приложението. Всичко това щеше да е ОК, но и двете са се доказали, в исторически план като не толкова трудно преодолими. Така например, приложение за Android може да скрие зловредното си действие или да качи код динамично от отдалечен сървър, правейки детекцията на тези зловредни действия значително по-трудна“, пояснява Янг.

Все пак има решение на потенциалния проблем. Една от възможностите тук е потребителите да изключат напълно фоновите (background) авто-обновления. Така потребителят ще бъде уведомяван да наложи ръчно тези обновления – процес, който може да бъде доста досаден, завършва Янг.

3
ДОБАВИ КОМЕНТАР

avatar
3 Коментари
0 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Росен Р. Александров
Росен Р. Александров

Бе въпреки всичко ще си е винаги по-добре от Уинлайното за телефон.

annikoloff
annikoloff

Благодаря ти, Роска, че сподели с нас тоалетните си изживявания!

exword
exword

Според мен всичко ще бъде наред ако на потребителите се даде възможност да забраняват на приложенията определени неща дори това да ги счупи.Все пак кой е собственик на устройството приложението или потребителя, не знам ако питаме Google вероятно тяхното мнение се различава от нашето.