Google Play更新改變了權限模式,但不是變得更好
以前,如果一個應用程式更新需要新的權限,使用者必須明確地審查權限和加以允許,就彷彿是安裝新的應用程式一樣。但現在已不再是如此。現在,如果所要求的權限是使用者已經授予存取的同一群組,就不再需要另外批准。如果應用程式自動更新開啟,該應用程式可以在背景更新,而使用者不會意識到權限變更。
手機作業系統(如iOS和Android)比桌面系統更加安全的原因之一是它們對應用程式權限有著非常強大的控制。每個應用程式向使用者和作業系統所要求的權限,理論上來說,僅限於它們所需的部分。
不過並非總是這樣。應用程式開發人員往往會要求比所需還要更多的權限;使用者不會總是加以注意,而且也幾乎會允許任何要求。儘管如此,權限系統雖不完美但可以接受,對於會特別注意應用程式權限的使用者來說,它還是個有用的工具來做些事情。
然而不幸的是,Google已經用很根本的方式來改變其Android的權限模型,顯著地降低使用者的可見性和易用性。它讓惡意應用程式開發人員有更多空間來更新他們的應用程式,將具備潛在風險的權限加到他們的應用程式。
這是如何做的?在各個Android論壇的開發者發現Google Play的更新(在五月中旬推出)也改變了對權限和應用程式更新的處理,而且不是用很好的方式。
以前,如果一個應用程式更新需要新的權限,使用者必須明確地審查權限和加以允許,就彷彿是安裝新的應用程式一樣。但現在已不再是如此。現在,如果所要求的權限是使用者已經授予存取的同一群組,就不再需要另外批准。如果應用程式自動更新開啟,該應用程式可以在背景更新,而使用者不會意識到權限變更。
這些權限群組都記錄在Android開發者網站。群組和功能種類有關;比方說,所有處理地理位置服務的權限都在同一群組。桌布相關的權限都在另一群組;處理儲存的權限又在另一群組。根據開發者文件的定義有31個群組,有13個在Google討論此一問題的常見問答中被明確地提出來。
原意是好的,它簡化了權限程序,讓它對使用者來說更加簡單。然而,它也可能非常地有問題。現在很容易就可以建立一個應用程式,一開始用明顯「無害」的權限,然後再整合潛在惡意行為所必需的權限。比方說,使用閃光燈和錄製聲音/影片是在同一群組。也就是說,一個手電筒應用程式可以很容易地更新成為一個錄音/監控的應用程式,而使用者不會注意到其改變。其他屬於同一群組的權限包括:
- 讀取外部儲存裝置的內容
- 修改或刪除外部儲存裝置的內容
- 格式化外部儲存裝置
- 載入或卸載外部儲存裝置
以上述列表作為例子,具有讀取外部儲存裝置內容權限的應用程式可以很容易地「提升」到具有改變或刪除內容的能力。
一般情況下,因為Google將類似的特定功能加成群組,讀取和寫入權限往往混在一起。當給予任何應用程式讀取權限,我們也就給了這應用程式修改的權限。這完全地違背我們所認知的正常行為:如果我借東西給朋友,通常我會希望拿回來的時候還是跟我借出時相同的狀態。
實際地說,這打破了權限設計和讓它變得沒用。現在使用者非常難去基於權限來控制應用程式,因為每種類別都如此廣泛,所以即使是最簡單的應用程式都可能會要求多種權限。它也讓應用程式開發人員非常容易在使用者安裝之後,透過背景更新的方式插入權限到應用程式,然後就能夠用在惡意用途。
這意味著需要更加依賴其他方法來控制應用程式行為,如Google Bouncer和應用程式驗證。這些都還好,但根據歷史經驗,這兩者都證明可以被繞過。例如,Android應用程式可能隱藏惡意程式碼或動態地從遠端伺服器載入程式碼,讓偵測惡意行為變得更加困難。
使用者沒有太多選擇去解決這種「更新」行為。使用者可以考慮的一個選項是完全關閉背景自動更新。如果有可用更新,Google Play應用程式仍然會通知使用者,使用者需要手動更新並檢查新的權限。不幸的是,這過程可能相當繁瑣。
此外,在隱私意識抬頭的今天。「相信我們」 – 就像Google實際上要求我們所做的一樣 – 並不是個理想的主張。使用者必須擁有工具來自己決定信任或不信任什麼。拿走這樣的工具只能說是種傲慢的舉動。
@原文出處:Play Store Update Changes Permissions, And Not For The Better作者:Veo Zhang(行動威脅分析師)
