Tudo isto graças à mais recente atualização da Play Store e à sua interface simplificada de permissões de aplicativos. A ideia principal aqui - tornar as permissões de aplicativos para Android fáceis de entender para os usuários normais - é boa. A implementação é o grande problema.
Aplicativos agora podem adicionar permissões sem perguntar
O Google Play agora agrupa as permissões de aplicativos em grupos de permissões relacionadas. Por exemplo, um aplicativo que queira ler suas mensagens SMS recebidas exigirá a permissão "Ler mensagens SMS". Ao instalá-lo na Play Store, você verá o grupo de permissão "SMS".
Instale o aplicativo e você terá acesso a todas as permissões relacionadas ao SMS. O aplicativo agora pode atualizar automaticamente e obter a capacidade de enviar mensagens SMS sem perguntar a você.
Você tem aplicativos no seu dispositivo em que confia para ler mensagens SMS, mas não para enviá-las? Esses aplicativos agora podem obter a capacidade de enviar mensagens SMS sem avisar - tudo que o desenvolvedor precisa fazer é atualizar o aplicativo.
A única maneira de impedir que isso aconteça é desativar as atualizações automáticas e verificar as permissões do aplicativo manualmente toda vez que um aplicativo quiser ser atualizado, como se isso fosse uma solução razoável. Se você fizer isso, você também acabará usando versões desatualizadas de aplicativos, o que é outro problema de segurança.
Grupos de permissões contêm permissões perigosas e perigosas
O grande problema é que os grupos podem conter tanto permissões básicas quanto normais, bem como permissões mais perigosas. Por exemplo:
- Localização: Um aplicativo que solicita sua localização aproximada baseada na rede agora pode obter permissão para rastrear seu local exato com o GPS do seu dispositivo.
- SMS: Um aplicativo que só precisa receber mensagens de texto agora pode obter permissão para enviar mensagens SMS em segundo plano, o que pode custar muito dinheiro.
- telefone: Um aplicativo que pede para ler o seu registro de chamadas agora pode obter permissão para redirecionar as chamadas de saída e fazer chamadas telefônicas sem perguntar a você.
- Fotos / Mídia / Arquivos: Um aplicativo que precisa ler o conteúdo do seu armazenamento USB ou cartão SD agora pode formatar todo o seu dispositivo de armazenamento externo.
- Câmera / Microfone: Um aplicativo que tem permissão para tirar fotos e gravar vídeos (por exemplo, um aplicativo de câmera) agora pode obter permissão para gravar áudio. O aplicativo pode ouvi-lo quando você usa outros apps ou quando a tela do seu dispositivo está desativada.
Ser-lhe-á pedido para confirmar quando uma aplicação requer um novo grupo de permissões. Se você já concedeu acesso a uma única permissão de um grupo, todas as apostas serão desativadas e o aplicativo poderá obter todas as permissões nesse grupo.
Enormes quantidades de aplicativos Android já pedem mais permissões do que precisam, e agora esses aplicativos receberam ainda mais permissões de que não precisam!
Todo aplicativo recebe acesso à Internet
O Google também deu a cada aplicativo acesso à Internet, removendo efetivamente a permissão de acesso à Internet. Ah, claro, os desenvolvedores do Android ainda precisam declarar que querem acesso à Internet ao montar o aplicativo. Mas os usuários não podem mais ver a permissão de acesso à Internet ao instalar um aplicativo, e os aplicativos atuais que não têm acesso à Internet agora podem obter acesso à Internet com uma atualização automática sem avisá-lo.
Claro, a maioria dos aplicativos precisa de acesso à Internet nos dias de hoje, mas nem todos eles. Você pode querer usar um papel de parede ao vivo, lanterna ou aplicativo de teclado sem dar acesso à Internet. Na verdade, um dos recursos de segurança para teclados de terceiros no iOS 8 da Apple é que esses teclados não podem acessar a Internet, a menos que você permita especificamente. Todos os teclados no Android agora podem acessar a Internet.
Permissões do Android App foram quebradas, de qualquer forma
O sistema de permissões de aplicativos do Android já estava quebrado. É menos um sistema de permissões e mais um sistema de demanda. Um aplicativo exige que ele exija alguns recursos, e você pode pegar ou largar. Você não pode escolher se deseja conceder a um aplicativo algumas permissões, mas não outras. O Android tinha um gerenciador de permissões embutido que estava sendo trabalhado, mas o Google o removeu. Agora, apenas as pessoas que enraizarem seus dispositivos e usarem o Xposed Framework para recuperar o recurso App Ops ou instalarem ROMs personalizadas, como o CyanogenMod, podem gerenciar permissões de aplicativo. Usuários típicos do Android ficam sem poder.
Muito do sistema de permissões de aplicativos do Android acaba de ficar sem sentido. Por que incomodar ter um sistema de permissão refinado onde os desenvolvedores precisam solicitar acesso à Internet e a permissões individuais como “ler mensagens SMS”? O Google também pode refazer totalmente as permissões de aplicativos para Android e fazer com que os aplicativos solicitem acesso a grupos de permissões. Pelo menos eles não estariam nos dando uma falsa sensação de segurança!
Não, isso não é um ataque ao Android de um fanboy da Apple. Eu adoro o Android e uso um Nexus 4 como smartphone, mas acredito em dar poder aos usuários. Os usuários do Android devem ser capazes de escolher quais aplicativos podem enviar mensagens SMS ou se os aplicativos da câmera podem gravar áudio.Agora, não só não podemos controlar as permissões sem fazer o root ou instalar uma ROM personalizada, mas o novo sistema de permissões nos dá ainda menos energia.
Obrigado ao iamtubeman no Reddit por explorar esta questão importante e testá-la. A explicação do Google sobre as novas permissões de aplicativos simplificadas do Android pode ser encontrada aqui.
