As permissões de aplicativos do Android foram simplificadas - agora elas são muito menos seguras
O Google acaba de fazer uma grande mudança na maneira como as permissões de aplicativos funcionam no Android. As aplicações que já estão no seu dispositivo podem agora ganhar permissões perigosas com atualizações automáticas. Aplicativos futuros podem ganhar permissões perigosas sem perguntar a você também.
Tudo isto graças à mais recente atualização da Play Store e à sua interface simplificada de permissões de aplicativos. A idéia principal aqui - tornar as permissões de aplicativos para Android fáceis de entender para os usuários normais - é boa. A implementação é o grande problema.
Aplicativos agora podem adicionar permissões sem perguntar
O Google Play agora agrupa as permissões de aplicativos em grupos de permissões relacionadas. Por exemplo, um aplicativo que queira ler suas mensagens SMS recebidas exigirá a permissão "Ler mensagens SMS". Ao instalá-lo pela Play Store, você verá o grupo de permissão "SMS".
Instale o aplicativo e você está dando acesso a todas as permissões relacionadas ao SMS. O aplicativo agora pode atualizar automaticamente e obter a capacidade de enviar mensagens SMS sem solicitar.
Você tem aplicativos no seu dispositivo em que confia para ler mensagens SMS, mas não para enviá-las? Esses aplicativos agora podem obter a capacidade de enviar mensagens SMS sem avisar - tudo que o desenvolvedor precisa fazer é atualizar o aplicativo.
A única maneira de evitar que isso aconteça é desabilitar as atualizações automáticas e verificar as permissões do aplicativo manualmente sempre que um aplicativo quiser atualizar, como se isso fosse uma solução razoável! Se você fizer isso, você também acabará usando versões desatualizadas de aplicativos, que é outro problema de segurança.
Grupos de permissões contêm permissões perigosas e perigosas
O grande problema é que os grupos podem conter tanto permissões básicas quanto normais, bem como permissões mais perigosas. Por exemplo:
- Localização: Um aplicativo que solicita sua localização aproximada baseada na rede agora pode obter permissão para rastrear sua localização exata com o GPS do seu dispositivo.
- SMS: Um aplicativo que só precisa receber mensagens de texto agora pode ganhar a permissão para enviar mensagens SMS em segundo plano, potencialmente custando-lhe dinheiro.
- telefone: Um aplicativo que pede para ler seu registro de chamadas agora pode obter permissão para redirecionar as chamadas de saída e fazer chamadas telefônicas sem solicitar.
- Fotos / Mídia / Arquivos: Um aplicativo que precisa ler o conteúdo do seu armazenamento USB ou cartão SD agora pode formatar todo o seu dispositivo de armazenamento externo.
- Câmera / Microfone: Um aplicativo que tem permissão para tirar fotos e gravar vídeos (por exemplo, um aplicativo de câmera) agora pode obter permissão para gravar áudio. O aplicativo pode ouvi-lo quando você usa outros apps ou quando a tela do seu dispositivo está desativada.
Você será solicitado a confirmar quando um aplicativo exigir um novo grupo de permissões. Se você já concedeu acesso a uma única permissão de um grupo, todas as apostas serão desativadas e o aplicativo poderá obter todas as permissões nesse grupo.
Enormes quantidades de aplicativos Android já pedem mais permissões do que precisam, e agora esses aplicativos receberam ainda mais permissões de que não precisam!
Todo aplicativo recebe acesso à Internet
O Google também deu acesso a cada aplicativo à Internet, removendo efetivamente a permissão de acesso à Internet. Ah, claro, os desenvolvedores do Android ainda precisam declarar que querem acesso à Internet ao montar o aplicativo. Mas os usuários não podem mais ver a permissão de acesso à Internet ao instalar um aplicativo, e os aplicativos atuais que não têm acesso à Internet agora podem obter acesso à Internet com uma atualização automática sem solicitar.
Claro, a maioria dos aplicativos precisa de acesso à Internet nos dias de hoje, mas nem todos eles. Você pode querer usar um papel de parede ao vivo, lanterna ou aplicativo de teclado sem dar acesso à Internet. Na verdade, um dos recursos de segurança para teclados de terceiros no iOS 8 da Apple é que esses teclados não podem acessar a Internet, a menos que você permita especificamente. Todos os teclados no Android agora podem acessar a Internet.
Permissões do Android App foram quebradas, de qualquer forma
O sistema de permissões de aplicativos do Android já estava quebrado. É menos um sistema de permissões e mais um sistema de demanda. Um aplicativo exige que ele exija alguns recursos, e você pode pegá-lo ou deixá-lo. Você não pode escolher se deseja conceder a um aplicativo algumas permissões, mas não outras. Na verdade, o Android tinha um gerenciador de permissões embutido que estava sendo trabalhado, mas o Google o removeu. Agora, apenas as pessoas que enraizarem seus dispositivos e usarem o Xposed Framework para recuperar o recurso App Ops ou instalarem ROMs personalizadas, como o CyanogenMod, podem gerenciar permissões de aplicativo. Usuários típicos do Android ficam impotentes.
Muito do sistema de permissões de aplicativos do Android acaba de ser deixado sem sentido. Por que incomodar ter um sistema de permissão refinado onde os desenvolvedores precisam solicitar acesso à Internet e a permissões individuais como “ler mensagens SMS”? O Google também pode refazer totalmente as permissões do aplicativo para Android e fazer com que os aplicativos solicitem acesso a grupos de permissões. Pelo menos eles não estariam nos dando uma falsa sensação de segurança!
E o tempo todo, o iOS da Apple tem um sistema de permissão funcional que dá aos usuários controle.
Não, isso não é um assalto ao Android de um fanboy da Apple. Eu adoro o Android e uso um Nexus 4 como smartphone, mas acredito em dar poder aos usuários. Os usuários do Android devem ser capazes de escolher quais aplicativos podem enviar mensagens SMS ou se os aplicativos da câmera podem gravar áudio. Agora, não só não podemos controlar as permissões sem fazer o root ou instalar uma ROM personalizada, mas o novo sistema de permissões nos dá ainda menos poder.
Obrigado a iamtubeman no Reddit por explorar esta questão importante e testá-la. A explicação do Google sobre as novas permissões de aplicativos simplificadas do Android pode ser encontrada aqui.