Android-App-Berechtigungen wurden vereinfacht - jetzt sind sie viel weniger sicher
Google hat gerade eine große Änderung an der Funktionsweise von App-Berechtigungen für Android vorgenommen. Apps, die sich bereits auf Ihrem Gerät befinden, können jetzt durch automatische Updates gefährliche Berechtigungen erhalten. Zukünftige Apps können gefährliche Berechtigungen erhalten, ohne dass Sie dazu aufgefordert werden.
Dank des neuesten Play Store-Updates und der vereinfachten Benutzeroberfläche für die App-Berechtigung. Die Kernidee hier - Android-App-Berechtigungen für normale Benutzer verständlich zu machen - ist gut. Die Implementierung ist das große Problem.
Apps können jetzt Berechtigungen hinzufügen, ohne Sie zu fragen
Google Play gruppiert jetzt App-Berechtigungen in Gruppen zusammengehöriger Berechtigungen. Beispielsweise erfordert eine App, die Ihre eingehenden SMS-Nachrichten lesen möchte, die Berechtigung "SMS-Nachrichten lesen". Wenn Sie es über den Play Store installieren, werden Sie nach der Berechtigungsgruppe "SMS" gefragt.
Installieren Sie die App und Sie erhalten Zugriff auf alle SMS-bezogenen Berechtigungen. Die App kann jetzt automatisch aktualisieren und die Möglichkeit erhalten, SMS-Nachrichten zu senden, ohne dass Sie dazu aufgefordert werden.
Haben Sie Apps auf Ihrem Gerät, denen Sie vertrauen, SMS-Nachrichten zu lesen, aber nicht zu senden? Diese Apps können jetzt SMS-Nachrichten senden, ohne dass Sie dazu aufgefordert werden. Der Entwickler muss lediglich die App aktualisieren.
Die einzige Möglichkeit, dies zu verhindern, besteht darin, automatische Updates zu deaktivieren und die App-Berechtigungen jedes Mal manuell zu überprüfen, wenn eine App aktualisiert werden möchte - als wäre dies eine vernünftige Lösung! Wenn Sie dies tun, verwenden Sie am Ende auch veraltete Versionen von Apps, was ein weiteres Sicherheitsproblem darstellt.
Berechtigungsgruppen enthalten sowohl sichere als auch gefährliche Berechtigungen
Das große Problem ist, dass Gruppen sowohl normale Basisberechtigungen als auch gefährlichere Berechtigungen enthalten können. Zum Beispiel:
- Ort: Eine App, die nach Ihrem ungefähren, netzwerkbasierten Standort fragt, kann jetzt die Erlaubnis erhalten, Ihren genauen Standort mit dem GPS Ihres Geräts zu verfolgen.
- SMS: Eine App, die nur Textnachrichten empfangen muss, kann jetzt die Erlaubnis erhalten, SMS-Nachrichten im Hintergrund zu senden, was möglicherweise Geld kostet.
- Telefon: Eine App, die zum Lesen Ihrer Anrufliste auffordert, kann jetzt die Berechtigung erhalten, ausgehende Anrufe umzuleiten und Anrufe zu tätigen, ohne dass Sie dazu aufgefordert werden.
- Fotos / Medien / Dateien: Eine App, die den Inhalt Ihres USB-Speichers oder Ihrer SD-Karte lesen muss, kann jetzt Ihr gesamtes externes Speichergerät formatieren.
- Kamera / Mikrofon: Eine App, die über die Berechtigung zum Aufnehmen von Bildern und Videos verfügt (z. B. eine Kamera-App), kann jetzt die Berechtigung zum Aufnehmen von Audio erhalten. Die App könnte Sie hören, wenn Sie andere Apps verwenden oder wenn der Bildschirm Ihres Geräts ausgeschaltet ist.
Sie werden aufgefordert zu bestätigen, wenn eine App eine neue Gruppe von Berechtigungen erfordert. Wenn Sie bereits Zugriff auf eine einzelne Berechtigung von einer Gruppe gewährt haben, sind alle Wetten deaktiviert, und die App kann alle Berechtigungen in dieser Gruppe erhalten.
Bei einer riesigen Anzahl von Android-Apps werden bereits mehr Berechtigungen benötigt, als sie benötigen. Jetzt haben diese Apps sogar noch mehr Berechtigungen, die sie nicht benötigen!
Jede App erhält einen Internetzugang
Google hat jeder App außerdem einen Internetzugang gewährt, wodurch die Internetzugriffsberechtigung effektiv entfernt wird. Sicher, Android-Entwickler müssen beim Zusammenstellen der App immer noch angeben, dass sie einen Internetzugang benötigen. Benutzer können die Internetzugriffsberechtigung jedoch nicht mehr anzeigen, wenn Sie eine App installieren. Aktuelle Apps, die keinen Internetzugang haben, können jetzt mit einer automatischen Aktualisierung Internetzugang erhalten, ohne dass Sie dazu aufgefordert werden.
Sicher, die meisten Apps benötigen heutzutage einen Internetzugang, aber nicht alle. Sie können ein Live-Hintergrundbild, eine Taschenlampe oder eine Tastatur-App verwenden, ohne dafür Zugang zum Internet zu erhalten. Tatsächlich besteht eine der Sicherheitsfunktionen für Tastaturen von Drittanbietern in Apples iOS 8 darin, dass diese Tastaturen nicht auf das Internet zugreifen können, sofern Sie dies nicht ausdrücklich zulassen. Alle Tastaturen auf Android können jetzt auf das Internet zugreifen.
Android App-Berechtigungen waren sowieso defekt
Das App-Berechtigungssystem von Android war bereits defekt. Es ist weniger ein Erlaubnissystem als ein Nachfragesystem. Eine App erfordert, dass bestimmte Funktionen erforderlich sind, und Sie können sie verwenden oder verlassen. Sie können nicht auswählen, ob Sie einer App einige Berechtigungen erteilen möchten, andere jedoch nicht. Android hatte eigentlich einen eingebauten Berechtigungsmanager, an dem gearbeitet wurde, aber Google entfernte ihn. Jetzt können nur Benutzer, die ihre Geräte rooten und das Xposed Framework verwenden, um die App Ops-Funktion wiederzuerlangen oder benutzerdefinierte ROMs wie CyanogenMod zu installieren, App-Berechtigungen verwalten. Typische Android-Nutzer bleiben stromlos.
Ein Großteil des App-Berechtigungssystems von Android wurde gerade bedeutungslos gemacht. Warum sollten Sie sich ein feinkörniges Berechtigungssystem leisten, bei dem Entwickler einen Zugriff auf das Internet und einzelne Berechtigungen wie „SMS lesen“ anfordern müssen? Google könnte die Berechtigungen für Android-Apps genauso gut wiederherstellen, dass Apps stattdessen Zugriff auf Berechtigungsgruppen anfordern. Zumindest würden sie uns kein falsches Sicherheitsgefühl vermitteln!
Währenddessen verfügt Apples iOS über ein funktionales Berechtigungssystem, das dem Benutzer die Kontrolle gibt.
Nein, dies ist kein Angriff auf Android von einem Apple-Fan. Ich liebe Android und benutze ein Nexus 4 als Smartphone, aber ich glaube daran, dass ich den Anwendern Kraft schenke. Android-Benutzer sollten auswählen können, welche Apps SMS-Nachrichten senden können oder ob Kamera-Apps Audio aufnehmen können. Jetzt können wir Berechtigungen nicht nur nicht steuern, ohne ein benutzerdefiniertes ROM zu rooten oder zu installieren. Das neue Berechtigungssystem gibt uns sogar noch weniger Leistung.
Vielen Dank an iamtubeman von Reddit für das Erkunden dieses wichtigen Problems und das Testen. Die Erklärung von Google zu den neuen vereinfachten App-Berechtigungen von Android finden Sie hier.