Les autorisations des applications Android étaient simplement simplifiées - elles sont désormais beaucoup moins sécurisées
Google vient de faire un énorme changement dans la façon dont les autorisations d'applications fonctionnent sur Android. Les applications déjà présentes sur votre appareil peuvent désormais obtenir des autorisations dangereuses avec des mises à jour automatiques. Les futures applications peuvent obtenir des autorisations dangereuses sans vous en demander l'application.
Tout cela grâce à la dernière mise à jour du Play Store et à son interface simplifiée d'autorisation des applications. L'idée centrale ici - rendre les autorisations des applications Android compréhensibles pour les utilisateurs normaux - est bonne. La mise en œuvre est le gros problème.
Les applications peuvent maintenant ajouter des autorisations sans vous demander
Google Play regroupe désormais les autorisations d'applications dans des groupes d'autorisations associées. Par exemple, une application qui souhaite lire vos messages SMS entrants nécessite l'autorisation «Lire les messages SMS». Lorsque vous l'installez via le Play Store, vous le verrez vous demandant le groupe d'autorisations «SMS»..
Installez l'application et vous lui donnez accès à toutes les autorisations liées à SMS. L'application peut maintenant automatiquement mettre à jour et gagner la possibilité d'envoyer des messages SMS sans vous demander.
Avez-vous des applications sur votre appareil en lesquelles vous avez confiance pour lire des SMS, mais ne pas les envoyer? Ces applications peuvent désormais avoir la possibilité d’envoyer des messages SMS sans vous y inviter. Il suffit au développeur de mettre à jour l’application..
Le seul moyen d'éviter cela est de désactiver les mises à jour automatiques et de vérifier manuellement les autorisations des applications chaque fois qu'une application souhaite se mettre à jour - comme si c'était une solution raisonnable! Si vous faites cela, vous finirez également par utiliser des versions obsolètes d'applications, ce qui constitue un autre problème de sécurité..
Les groupes d'autorisations contiennent des autorisations sûres et dangereuses
Le gros problème est que les groupes peuvent contenir à la fois des autorisations de base normales et des autorisations plus dangereuses. Par exemple:
- Emplacement: Une application qui vous demande votre position approximative sur le réseau peut désormais obtenir l'autorisation de suivre votre position exacte avec le GPS de votre appareil.
- SMS: Une application qui n'a besoin que de recevoir des messages texte peut désormais obtenir l'autorisation d'envoyer des SMS en arrière-plan, ce qui peut vous coûter cher.
- Téléphone: Une application qui demande à lire votre journal d'appels peut désormais obtenir l'autorisation de rediriger les appels sortants et de passer des appels téléphoniques sans vous le demander..
- Photos / Médias / Fichiers: Une application qui a besoin de lire le contenu de votre stockage USB ou de votre carte SD peut désormais formater tout votre périphérique de stockage externe.
- Caméra / Microphone: Une application autorisée à prendre des photos et des vidéos (par exemple, une application appareil photo) peut désormais obtenir l'autorisation d'enregistrer de l'audio. L'application peut vous écouter lorsque vous utilisez d'autres applications ou lorsque l'écran de votre appareil est éteint.
Vous serez invité à confirmer lorsqu'une application nécessite un nouveau groupe d'autorisations. Si vous avez déjà accordé l'accès à une seule autorisation d'un groupe, tous les paris sont désactivés et l'application peut obtenir toutes les autorisations de ce groupe..
D'énormes quantités d'applications Android demandent déjà plus d'autorisations que nécessaire, et maintenant, ces applications disposent de davantage d'autorisations dont elles n'ont pas besoin.!
Chaque application obtient un accès Internet
Google a également donné à chaque application un accès Internet, supprimant ainsi l'autorisation d'accès à Internet. Oh, bien sûr, les développeurs Android doivent encore déclarer vouloir accéder à Internet lors de la création de l'application. Mais les utilisateurs ne peuvent plus voir l'autorisation d'accès Internet lors de l'installation d'une application et les applications actuelles qui n'ont pas accès à Internet peuvent désormais accéder à Internet avec une mise à jour automatique sans vous en avertir..
Bien sûr, la plupart des applications ont besoin d'un accès Internet ces jours-ci, mais pas toutes. Vous pouvez utiliser un fond d’écran, une lampe de poche ou un clavier sans avoir à lui donner accès à Internet. En fait, l'une des fonctionnalités de sécurité des claviers tiers dans iOS 8 d'Apple est que ces claviers ne peuvent pas accéder à Internet à moins d'y être expressément autorisés. Tous les claviers sur Android peuvent maintenant accéder à Internet.
Les autorisations pour les applications Android étaient toujours brisées
Le système de permission d'application d'Android était déjà brisé. C'est moins un système de permission que de demande. Une application exige certaines fonctionnalités et vous pouvez la prendre ou la laisser. Vous ne pouvez pas choisir d’accorder des autorisations à une application, mais pas les autres. Android possédait en fait un gestionnaire de permissions intégré sur lequel on travaillait, mais Google l'a supprimé. Désormais, seules les personnes qui rootent leurs appareils et utilisent Xposed Framework pour retrouver la fonctionnalité App Ops ou installer des ROM personnalisées telles que CyanogenMod peuvent gérer les autorisations des applications. Les utilisateurs typiques d'Android sont impuissants.
Une grande partie du système de permission des applications Android vient de perdre tout son sens. Pourquoi même avoir la peine d’avoir un système d’autorisations à la fine pointe de la technologie dans lequel les développeurs doivent demander un accès à Internet et à des autorisations individuelles, telles que «lire des messages SMS»? Il se peut tout aussi bien que Google rétablisse entièrement les autorisations pour les applications Android et demande aux applications d'accéder à des groupes de permissions. Au moins, ils ne nous donneraient pas un faux sentiment de sécurité!
Et pendant tout ce temps, Apple iOS dispose d’un système de permission fonctionnel qui permet aux utilisateurs de contrôler.
Non, ce n'est pas un assaut sur Android d'un fanboy Apple. J'adore Android et j'utilise un Nexus 4 comme smartphone, mais je crois qu'il est important de donner du pouvoir aux utilisateurs. Les utilisateurs d'Android devraient pouvoir choisir les applications pouvant envoyer des messages SMS ou indiquer si les applications de l'appareil photo peuvent enregistrer de l'audio. Maintenant, non seulement nous ne pouvons pas contrôler les autorisations sans enraciner ou installer une ROM personnalisée, mais le nouveau système d’autorisation nous donne encore moins de puissance..
Merci à iamtubeman de Reddit pour avoir exploré cet important problème et l'avoir testé. Vous pouvez trouver l'explication de Google concernant les nouvelles autorisations d'applications simplifiées d'Android ici..