Povolenia aplikácií pre Android - ako to google získa správne ...

V poslednej dobe sa objavilo veľa správ o zániku bezpečnosti alebo úsudku - v skutočnosti oboch - v spoločnosti Apple, ktorý umožňuje aplikáciám iOS požičiavať si kontaktné údaje a odosielať ich neznámym častiam bez vášho súhlasu. Spoločnosť Apple adresovala tento problém členom amerického Kongresu a podnikne kroky na to, aby v budúcej aktualizácii systému iOS zostala prísnejšia kontrola. To je dobrá správa a sme radi, že sa to deje.

Ale čo Android? Počas celého tohto zamerania na aplikácie, ktoré robia veci bez výslovného povolenia používateľa, vidíte ľudí, ktorí odkazujú na model povolení pre Android. Všetko pre vás prelomíme. Nie je to dokonalé, ale funguje to celkom dobre - a určite je to lepšie ako žiadny systém povolení.

Pozrime sa na povoleniach pre Android a o tom, ako sa musíte uistiť, že ste súčasťou.

Podľa návrhu nemá žiadna aplikácia pre Android povolenie na vykonávanie operácií, ktoré by „nepriaznivo ovplyvnili iné aplikácie, operačný systém alebo používateľa“. Aby aplikácia mala prístup k veciam, ako sú súkromné ​​kontaktné údaje, údaje inej aplikácie, prístup k sieti alebo dokonca niečo také obyčajné ako zápis vlastných údajov do úložiska zariadenia, musí aplikácia vyhlásiť, že na to bude mať oprávnenie, a potom pred inštaláciou aplikácie musíte toto povolenie prijať. Pri inštalácii aplikácie sa zobrazí zoznam povolení, ktoré táto aplikácia vyhlasuje.

Upozorňujeme, že aplikácie hovoria o „vyhlásení“ povolení a nie o nevyhnutnosti ich „vyžiadania“. Sémantika, predpokladáme, ale nie je tam žiadne pole, ktoré hovorí: „Hej, Jerry! Som aplikácia, a rád by som, aby si sa mohol pozrieť na svoje kontaktné informácie. To je v poriadku?“ Namiesto toho sú aplikácie pre Android priamejšie a hovoria: „Jo, Jerry. Som aplikácia. Tu je zoznam toho, čo môžem urobiť, len to viem. Vezmi si to alebo ho opustíš.“

Aplikácie pre Android deklarujú, ku ktorým povoleniam majú prístup, a teda ku ktorým pieskoviskám môžu hrať. Môžete si tiež zvoliť ich prijatie a inštaláciu aplikácie alebo nie. Dáva zmysel?

Povolenia - vopred a osobne v službe Android Market

Takto to vyzerá, ak inštalujete, povedzme, Cesta. Získate zoznam povolení, ktoré Path deklaruje. Klepnite na jeden a toto povolenie je vysvetlené trochu podrobnejšie.

Takto to vyzerá, ak inštalujete akúkoľvek aplikáciu zo služby Android Market. Ak chcete vidieť všetky, musíte zoznamom listovať. Trochu možností je cesta, ktorá získala Path (a ďalšie) so všetkými problémami v systéme iOS. Vo svojej podobe pre Android môžete jasne vidieť, že Path vyhlasuje povolenie na „Vaše osobné údaje - prečítajte si kontaktné údaje“. Klepnutím na toto povolenie získate ďalšie podrobnosti:

„Umožňuje aplikácii čítať všetky kontaktné údaje (adresy) uložené v telefóne. Škodlivé aplikácie to môžu použiť na odosielanie vašich údajov iným ľuďom.“

Path vám teda povedal, že má prístup k vašim kontaktným údajom. Nie je to nevyhnutne potrebné na to, čo s tým bude robiť (ak by sme to len nevystúpili, naozaj by ste to chceli vedieť?), Ale to vám hovorí, že to dokáže prečítať.

Aplikácie mimo služby Android Market

Ale čo keď si naložíte aplikáciu? Alebo použite Amazon Appstore? Aplikácie majú stále deklarovať, ktoré povolenia používajú, a tento zoznam povolení uvidíte pri inštalácii aplikácie. (Nezabudnite, že aplikácie Amazon Appstore sideloads, takže to, čo vidíte, je úplne rovnaké, ako keby ste nainštalovali aplikáciu z e-mailu alebo stiahnutia.)

Tu by malo vyzerať to, ako bude vyzerať sideloading Gmail. Jediným skutočným rozdielom medzi vedľajším zaťažením a inštaláciou z Android Marketu, pokiaľ ide o povolenia, je to, že pri vedľajšom načítaní nedostanete podrobnejší popis povolení.

Prečo to všetko? Aplikácie pre Android sú „karantény“ - hrajú vo vlastnom priestore a majú v tomto karanténe vlastné dátové súbory. Hru môžu zdieľať v pieskovisku niekoho iného iba po výslovnom požiadaní o povolenie, a to prostredníctvom obrazoviek, ktoré vidíte vyššie. Keď tieto povolenia prijmete a nainštalujete aplikáciu, dávate tejto aplikácii povolenie na hranie v karanténach, v ktorých aplikácia hovorí, že chce hrať.

Na strane vývojárov … a ako musia spotrebitelia urobiť svoju úlohu

Vývojári aplikácií v zákulisí deklarujú tieto povolenia v súbore AndroidManifest.xml, ktorý je povinnou súčasťou zdrojového kódu pre aplikáciu pre Android. Tieto vyhlásenia sú statické a každé z nich sa používateľovi zobrazí ako je uvedené vyššie. Android nemá žiadny spôsob, ako dynamicky udeľovať povolenia za behu, pretože podľa vývojárov systému Android „komplikuje používateľské prostredie na úkor bezpečnosti“. Nútiť aplikáciu, aby vám oznámila, čo chce robiť, vopred a nikdy sa nemôže zmeniť - to je maximálny bezpečnostný model.

Otočná strana? Pre používateľov je tiež najjednoduchšie ich ignorovať.

Vieme všetko o tom, čo sa stalo s cestou na systéme iOS. Podobne ako mnoho iných aplikácií pre iOS používal tento kontakt bez povolenia. Nie pre zlé účely, ale napriek tomu bez predchádzajúceho súhlasu a bez neskoršieho požiadania. Cesta pre Android poslala na svoje servery všetky druhy údajov, rovnako ako v prípade iOS. Ako sme však ukázali v tomto príspevku, v systéme Android musí cesta najskôr vyhlásiť povolenie. Alebo presnejšie, vyhlasuje povolenie a vy ho buď prijmete, alebo odmietnete.

Problém je pri inštalácii aplikácie, s najväčšou pravdepodobnosťou budete vchádzať hneď za časťou povolení. Naozaj by ste to nemali robiť, ale všetci to robíme. Súčasťou problému je skutočnosť, že povolenia nie sú napísané v jasnom jazyku. Ale aj keby boli, väčšina z nás by klikla rovnako. Takto to vyzerá, na každej platforme. Na druhej strane sú tí, ktorí sa bojia o povolenie, pretože im nerozumejú. Tu by opäť pomohol používateľsky prívetivejší jazyk.

Jednou z alternatív je, že aplikácia požiada o povolenie v čase spustenia, keď chce urobiť niečo, čo nedokáže normálne. Už sme si prečítali, že tím pre Android si myslí, že je to nepohodlné a neisté, takže sa pravdepodobne nestane.

Inou alternatívou je povoliť vybrané povolenia, podobne ako RIM v prípade BlackBerry. Tie skončia s aplikáciami, ktoré fungujú iba z polovice, pretože ste zamietli povolenia, rovnako ako BlackBerry. Neexistuje žiadna skutočná spoľahlivá metóda okrem čítania všetkého, keď si nainštalujete túto aplikáciu a pokúsite sa porozumieť tomu, čo požaduje a prečo to vyžaduje.

To je miesto, kde všetci prichádzame. Niektorí z nás rozumejú aplikačným povoleniam viac ako iní, a keď aplikácia niečo urobí, nemala by to robiť, budete počuť výkriky. Prečítajte si povolenia. Prečítajte si komentáre z trhu. Prečítajte si Android Central. Keď sa niečo zhorší, budete o tom počuť.

A ešte jedna vec …

Tu je potrebné uviesť špeciálnu poznámku o chybách zabezpečenia. Každý počítačový program - a to znamená aj každý mobilný operačný systém - je plný všetkých. Ak sa nájde chyba, ktorá aplikácii umožňuje obísť model zabezpečenia, spoločnosť Google ju rýchlo opraví. Stáva sa to a vždy sa to stane. Ako rýchlo sa vám táto aktualizácia dostane k dispozícii, záleží na ľuďoch, ktorí váš telefón pripravujú. Zaslúžia si kredit, keď to urobia správnym spôsobom, a opovrhnutie, keď to trvá príliš dlho a urobia to zle. To nie je niečo, čo sa čoskoro vytratí, a sme tu s vami, aby sme zavolali OEM, ktorý neuchováva veci tak bezpečné a bezpečné, ako by mali byť.

Ak sa chcete podrobnejšie zaoberať povoleniami pre systém Android, pozrite si na nich stránku pre vývojárov Google.