Đây là tất cả nhờ có bản cập nhật Cửa hàng Play mới nhất và giao diện cấp phép ứng dụng được đơn giản hóa của nó. Ý tưởng cốt lõi ở đây - làm cho các quyền ứng dụng Android dễ hiểu đối với người dùng thông thường - là tốt. Việc thực hiện là vấn đề lớn.
Ứng dụng có thể thêm quyền mà không hỏi bạn
Google Play hiện đang nhóm các quyền của ứng dụng thành các nhóm quyền liên quan. Ví dụ: ứng dụng muốn đọc tin nhắn SMS đến của bạn sẽ yêu cầu quyền “Đọc tin nhắn SMS”. Khi bạn cài đặt nó qua Cửa hàng Play, bạn sẽ thấy ứng dụng yêu cầu nhóm quyền "SMS".
Cài đặt ứng dụng và bạn cấp cho ứng dụng quyền truy cập vào tất cả các quyền liên quan đến SMS. Ứng dụng hiện có thể tự động cập nhật và nhận được khả năng gửi tin nhắn SMS mà không hỏi bạn.
Bạn có ứng dụng trên thiết bị mà bạn tin tưởng để đọc tin nhắn SMS không, nhưng không gửi chúng? Giờ đây, các ứng dụng đó có thể nhận được khả năng gửi tin nhắn SMS mà không nhắc bạn - tất cả những gì nhà phát triển phải làm là cập nhật ứng dụng.
Cách duy nhất để ngăn điều này xảy ra là tắt cập nhật tự động và xác minh quyền ứng dụng theo cách thủ công mỗi lần ứng dụng muốn cập nhật - như thể đó là giải pháp hợp lý! Nếu bạn làm điều này, bạn cũng sẽ kết thúc bằng cách sử dụng các phiên bản ứng dụng lỗi thời, đây là một vấn đề bảo mật khác.
Nhóm quyền chứa cả quyền an toàn và nguy hiểm
Vấn đề lớn là các nhóm có thể chứa cả quyền bình thường, cơ bản cũng như các quyền hạn nguy hiểm hơn. Ví dụ:
- Vị trí: Một ứng dụng yêu cầu vị trí dựa trên mạng gần đúng của bạn giờ đây có thể có quyền theo dõi vị trí chính xác của bạn với GPS trên thiết bị của bạn.
- tin nhắn: Ứng dụng chỉ cần nhận tin nhắn văn bản hiện có thể nhận được quyền gửi tin nhắn SMS trong nền, có khả năng khiến bạn tốn tiền.
- Điện thoại: Một ứng dụng yêu cầu đọc nhật ký cuộc gọi của bạn hiện có thể được phép định tuyến lại cuộc gọi đi và thực hiện cuộc gọi điện thoại mà không hỏi bạn.
- Ảnh / Truyền thông / Tệp: Một ứng dụng cần đọc nội dung lưu trữ USB hoặc thẻ SD của bạn giờ đây có thể định dạng toàn bộ thiết bị lưu trữ bên ngoài của bạn.
- Máy ảnh / Micrô: Ứng dụng có quyền chụp ảnh và quay video (ví dụ: ứng dụng máy ảnh) hiện có thể có quyền ghi âm. Ứng dụng có thể nghe bạn khi bạn sử dụng các ứng dụng khác hoặc khi màn hình của thiết bị tắt.
Bạn sẽ được yêu cầu xác nhận khi ứng dụng yêu cầu nhóm quyền mới. Nếu bạn đã cấp quyền truy cập vào một quyền duy nhất từ một nhóm, tất cả các phiên cược sẽ bị tắt và ứng dụng có thể nhận tất cả các quyền trong nhóm đó.
Số lượng lớn ứng dụng Android đã yêu cầu nhiều quyền hơn mức cần thiết và giờ đây các ứng dụng đó đã được cấp nhiều quyền hơn nữa mà chúng không cần!
Mọi ứng dụng đều có quyền truy cập Internet
Google cũng đã cung cấp cho mỗi ứng dụng truy cập Internet, loại bỏ hiệu quả quyền truy cập Internet. Ồ, chắc chắn, các nhà phát triển Android vẫn phải tuyên bố họ muốn truy cập Internet khi kết hợp ứng dụng. Nhưng người dùng không còn có thể thấy quyền truy cập Internet khi cài đặt ứng dụng và các ứng dụng hiện tại không có quyền truy cập Internet hiện có thể truy cập Internet bằng bản cập nhật tự động mà không cần nhắc bạn.
Chắc chắn, hầu hết các ứng dụng cần truy cập Internet những ngày này, nhưng không phải tất cả chúng. Bạn có thể muốn sử dụng ứng dụng hình nền, đèn pin hoặc bàn phím trực tiếp mà không cần truy cập Internet. Thực tế, một trong những tính năng bảo mật cho bàn phím của bên thứ ba trong iOS 8 của Apple là những bàn phím đó không thể truy cập Internet trừ khi bạn cho phép chúng cụ thể. Tất cả bàn phím trên Android hiện có thể truy cập Internet.
Quyền ứng dụng Android đã bị hỏng, dù sao
Hệ thống cấp phép ứng dụng của Android đã bị hỏng. Đó là một hệ thống cấp phép và nhiều hệ thống yêu cầu hơn. Một ứng dụng yêu cầu nó đòi hỏi một số tính năng nhất định và bạn có thể lấy nó hoặc để nó. Bạn không thể chọn có muốn cấp cho ứng dụng một số quyền hay không nhưng không cho phép người khác. Android thực sự có trình quản lý quyền được tích hợp sẵn đang được thực hiện nhưng Google đã xóa nó. Bây giờ chỉ có những người root thiết bị của họ và sử dụng Xposed Framework để lấy lại tính năng App Ops hoặc cài đặt ROM tùy chỉnh như CyanogenMod có thể quản lý quyền ứng dụng. Người dùng Android điển hình không có sức mạnh.
Phần lớn hệ thống cấp phép ứng dụng của Android đã được thực hiện vô nghĩa. Tại sao thậm chí còn bận tâm đến việc có một hệ thống cấp quyền cho phép các nhà phát triển phải yêu cầu truy cập vào Internet và các quyền riêng lẻ như “đọc tin nhắn SMS”? Google chỉ có thể làm lại toàn bộ quyền ứng dụng Android và làm cho các ứng dụng yêu cầu quyền truy cập vào các nhóm quyền. Ít nhất họ sẽ không cho chúng ta cảm giác an toàn sai lầm!
Không, đây không phải là một cuộc tấn công trên Android từ một fanboy của Apple. Tôi yêu Android và sử dụng Nexus 4 làm điện thoại thông minh, nhưng tôi tin rằng việc cung cấp cho người dùng sức mạnh. Người dùng Android có thể chọn ứng dụng có thể gửi tin nhắn SMS hoặc liệu ứng dụng máy ảnh có thể ghi âm thanh hay không.Bây giờ, không chỉ chúng ta không thể kiểm soát các quyền mà không có rễ hoặc cài đặt một ROM tùy chỉnh, hệ thống quyền mới cho chúng ta sức mạnh thậm chí còn ít hơn.
Nhờ iamtubeman trên Reddit để khám phá vấn đề quan trọng này và kiểm tra nó. Bạn có thể tìm thấy giải thích của Google về các quyền ứng dụng đơn giản mới của Android tại đây.