Izin aplikasi Android - bagaimana google mendapatnya ...

Banyak berita akhir-akhir ini mengenai kelewatan dalam keselamatan atau penghakiman - kedua-duanya, sebenarnya - di Apple yang membolehkan aplikasi iOS meminjam data kenalan anda dan menghantarnya ke bahagian tidak diketahui tanpa persetujuan anda. Apple telah menangani isu ini kepada ahli Kongres AS, dan akan mengambil langkah untuk memegang kawalan yang lebih ketat dalam kemas kini iOS masa depan. Itulah berita baik, dan kami senang melihatnya berlaku.

Tetapi bagaimana dengan Android? Semasa semua fokus ini pada apl melakukan perkara tanpa izin pengguna yang jelas, anda melihat orang yang merujuk kepada model kebenaran Android. Kami akan memecahkan semuanya untuk anda. Ia tidak sempurna, tetapi ia berfungsi dengan baik - dan ia pasti lebih baik daripada tiada sistem kebenaran sama sekali.

Mari kita jalankan keizinan anda di Android, dan bagaimana anda perlu memastikan bahagian anda.

Dengan reka bentuk, tiada aplikasi Android mempunyai kebenaran untuk melakukan apa-apa operasi yang "akan memberi kesan buruk kepada aplikasi lain, sistem pengendalian, atau pengguna." Untuk aplikasi yang mempunyai akses kepada perkara seperti data kenalan peribadi, data aplikasi lain, akses rangkaian, atau sesuatu yang biasa seperti menulis data sendiri ke storan peranti, aplikasi mesti mengisytiharkan bahawa ia akan mempunyai keizinan untuk berbuat demikian, dan kemudian anda mesti menerima kebenaran itu sebelum anda boleh memasang aplikasinya. Apabila anda memasang aplikasi, anda dibentangkan dengan senarai keizinan yang diisytiharkan oleh aplikasi.

Dan maklum bahawa kami mengatakan aplikasi "mengisytiharkan" keizinan, dan tidak semestinya "meminta" mereka. Semantik, kami rasa, tetapi tidak ada kotak yang mengatakan "Hei, Jerry! Saya adalah aplikasi, dan saya sayangkan anda supaya saya melihat maklumat hubungan anda. Sebaliknya, aplikasi Android lebih langsung, mengatakan "Yo, Jerry, saya adalah aplikasi. Ini senarai apa yang boleh saya lakukan, hanya sos ya tahu, ambil atau tinggalkannya."

Apl Android mengisytiharkan keizinan yang mereka akses kepada, dan dengan itu kotak pasir yang mereka boleh mainkan. Anda juga boleh memilih untuk menerima dan memasang aplikasinya atau tidak. Masuk akal?

Kebenaran - didahului dan peribadi di Android Market

Berikut adalah cara ia kelihatan jika anda memasang, katakan, Path. Anda mendapat senarai hak makro yang dibenarkan oleh Path. Ketik satu, dan ia menjelaskan kebenaran itu dengan terperinci yang lebih kecil.

Itulah bagaimana ia kelihatan jika anda memasang sebarang aplikasi dari Android Market. Anda perlu menatal melalui senarai untuk melihat mereka semua. Cara-cara kecil ke bawah adalah yang mendapat Path (dan lain-lain) dalam pelbagai masalah pada iOS. Dalam bentuk Android, anda dapat dengan jelas melihat bahawa Path mengisytiharkan kebenaran untuk "Data peribadi anda - baca data kenalan." Ketikkan kebenaran itu, dan anda mendapat lebih terperinci:

"Membenarkan aplikasi membaca semua data kenalan (alamat) yang disimpan di telefon anda. Aplikasi berniat jahat boleh menggunakannya untuk menghantar data anda kepada orang lain."

Jadi Path telah memberitahu anda bahawa ia mempunyai akses kepada data kenalan anda. Ia tidak semestinya memberitahu anda apa yang akan dilakukan dengannya (jika kita tidak membesarkannya, adakah anda benar-benar mahu tahu?), Tetapi ia memberitahu anda bahawa ia boleh membacanya.

Apps di luar Android Market

Tetapi bagaimana jika anda sideload aplikasi? Atau gunakan App Store Amazon? Aplikasi masih sepatutnya mengisytiharkan keizinan yang mereka gunakan, dan anda melihat senarai kebenaran apabila anda memasang aplikasinya. (Ingat bahawa appstore Amazon sideloads aplikasi, jadi apa yang anda lihat adalah sama seperti jika anda memasang apl dari e-mel atau muat turun.)

Berikut adalah apa yang menyentuh Gmail akan kelihatan seperti. Satu-satunya perbezaan nyata antara sideloading dan pemasangan dari Android Market, sejauh kebenaran diberikan, ialah apabila anda memasangkan, anda tidak mendapat keterangan kebenaran yang lebih terperinci.

Kenapa semua ini? Aplikasi Android adalah "sandboxed" - mereka bermain dalam ruang mereka sendiri dan mempunyai fail data mereka sendiri dalam kotak pasir itu. Mereka hanya boleh berkongsi mainan di kotak pasir orang lain setelah secara jelas meminta kebenaran, dan itu dilakukan melalui skrin yang anda lihat di atas. Apabila anda menerima kebenaran tersebut dan memasang aplikasi itu, anda memberi kebenaran aplikasinya untuk bermain di kotak pasir yang aplikasinya mengatakan ia mahu dimainkan.

Di sebelah pembangun … dan bagaimana pengguna mesti melakukan bahagian mereka

Di belakang tabir, pemaju aplikasi mengisytiharkan kebenaran ini dalam fail AndroidManifest.xml, yang merupakan sebahagian daripada kod sumber untuk aplikasi Android. Pengisytiharan ini adalah statik, dan setiap satu daripada mereka dikemukakan kepada pengguna seperti yang kita lihat di atas. Android tidak mempunyai cara untuk memberikan kebenaran secara dinamik pada masa larian, kerana menurut pemaju OS Android "ia merumitkan pengalaman pengguna untuk menjejaskan keselamatan." Memaksa apl memberitahu anda apa yang ingin dilakukan, didahului, dan tidak dapat diubah - itu model keselamatan sepenuhnya.

Sisi flip? Ia juga merupakan yang paling mudah bagi pengguna untuk mengabaikannya.

Kami tahu semua tentang apa yang berlaku dengan Path on iOS. Seperti banyak apl iOS lain, ia menggunakan kenalan tanpa kebenaran. Bukan untuk tujuan jahat, tetapi tetap tanpa izin ke hadapan, dan tanpa meminta kemudian. Laluan untuk Android menghantar semua data ke pelayannya, seperti yang dilakukan pada iOS. Tetapi seperti yang kita telah menunjukkan dalam catatan ini, di Android, Path telah mengisytiharkan kebenaran terlebih dahulu. Atau, lebih tepatnya, ia mengisytiharkan kebenaran, dan anda sama ada menerima atau menolaknya.

Masalahnya ialah apabila anda memasang aplikasi, kemungkinan besar anda akan melepasi masa lalu kebenaran kebenaran. Anda tidak seharusnya, tetapi kita semua melakukannya. Hakikat bahawa keizinan tidak ditulis dalam bahasa biasa adalah sebahagian daripada masalah. Tetapi walaupun mereka, kebanyakan kita akan mengklik betul masa lalu. Itulah cara bagaimana, pada setiap platform. Di sisi lain, terdapat orang-orang yang tidak tahu keizinan kerana mereka tidak faham. Sekali lagi, lebih banyak bahasa yang mesra pengguna akan membantu di sini.

Salah satu alternatif untuk ini adalah untuk meminta permohonan meminta izin pada masa larian, apabila ia ingin melakukan sesuatu yang tidak dapat dilakukan secara normal. Kami telah membaca bahawa pasukan Android berpendapat ini tidak mencukupi dan tidak selamat, jadi ia tidak mungkin berlaku.

Alternatif lain ialah membenarkan kebenaran yang dipilih, sama seperti RIM dengan BlackBerry. Anda berakhir dengan aplikasi yang hanya bekerja separuh kerana anda menafikan keizinan, seperti BlackBerry. Tidak ada kaedah yang benar-benar nyata, selain membacanya apabila anda memasang aplikasi itu dan cuba memahami apa yang ia ingin lakukan dan mengapa ia bertanya.

Itu di mana kita semua masuk. Sesetengah daripada kita memahami keizinan aplikasi yang lebih banyak daripada yang lain, dan apabila aplikasi melakukan sesuatu yang sepatutnya tidak dilakukan, anda mendengar bantahan tersebut. Baca kebenaran. Baca ulasan Pasaran. Baca Android Central. Apabila sesuatu berjalan lancar, anda akan mendengarnya.

Dan satu perkara yang terakhir …

Nota khas perlu pergi ke sini mengenai kelemahan keselamatan. Setiap program komputer - dan ini bermakna setiap sistem operasi mudah alih juga - penuh dengan mereka. Apabila kelemahan didapati yang membenarkan aplikasi memintas model keselamatan, Google akan memasangnya dengan cepat. Ini berlaku, dan ia akan sentiasa berlaku. Berapa cepat kemas kini ini akan dilancarkan kepada anda bergantung pada orang yang membuat telefon anda. Mereka berhak mendapat kredit apabila mereka melakukannya dengan cara yang betul, dan menghina ketika mereka terlalu lama dan melakukan kesalahan. Itu bukan sesuatu yang akan hilang pada bila-bila masa tidak lama lagi, dan kami berada di sana dengan anda untuk memanggil OEM yang tidak menyimpan perkara yang selamat dan selamat sebagaimana mestinya.

Sekiranya anda ingin menyelam lebih mendalam ke dalam kebenaran Android, semak halaman pembangun Google.