Фонд электронных рубежей (EFF) буквально позавчера выразил одобрение исключительно важной с точки зрения безопасности функцией, которая появилась в Android 4.3: настройка индивидуальных разрешений для каждого приложения. В настройке App Ops можно запретить/разрешить каждому приложению фиксировать номер IMEI, собирать геолокационные данные, читать адресную книгу и прочее. Эту функцию давно просили реализовать в Android — и её появление стало большим событием.
К сожалению, с выпуском апдейта Android 4.4.2 решено отменить сделанные изменения — и раздел App Ops просто исчез из настроек. Компания Google заявила, что функция была выпущена «по ошибке».
Апдейт Android 4.4.2 вышел на этой неделе, в нём возможность настройки разрешений отсутствует как таковая.
Фонд электронных рубежей обратился за комментарием в компанию Google и получил неожиданный ответ. Оказывается, эту функцию вообще не планировали выпускать, она была экспериментальной и попала в финальный релиз случайно. Изменение разрешений для некоторых приложений способно нарушить их работу, поэтому для обеспечения цельности системы экспериментальную функцию удалили с апдейтом Android 4.4.2.
Фонд электронных рубежей с подозрением воспринял такое объяснение. Они считают, что оно не может быть оправданием для удаления полезной функции вместо того, чтобы улучшить её работу. «Во многих случаях «поломку» приложения при установке запрета на геолокацию, чтение адресной книги или IMEI можно легко исправить, например, подав приложению фальшивые координаты, пустую адресную книгу или номер IMEI, состоящий из нулей, — сказано в заявлении EFF. — Как вариант, компания Google могла внести в документацию для разработчиков пункт, что такие вызовы API могут не работать по причинам приватности, так что программа должна предусмотреть исключение на этот случай. Хорошим компромиссным вариантом было бы использование фальшивых данных для старых версий Android API и чётко определённых исключений в следующих версиях API. Как и с другими изменениями в Android-устройствах и новых версиях ОС, некоторые разработчики просто внесут незначительные изменения в код программ».
EFF считает, что исчезновение функции из операционной системы Android — очень тревожный знак. Отсутствие такой функции представляет собой дыру в безопасности устройств, которыми пользуются более миллиарда человек. Удивительно, что даже Apple решила эту проблему в iOS несколько лет назад.
«Совсем недавно казалось, что Google позаботилась об этой массовой проблеме с приватностью, — пишет EFF. — Теперь у нас появились сомнения. Единственным способом развеять сомнения для Google является немедленно вернуть интерфейс App Ops, а также доработать его и дополнить фундаментально важными частями». Вот что следует добавить.
- Возможность отключить функции слежения (телефонные номера, IMEI, другая информация об аккаунтах) для всех приложений сразу.
- Возможность полного отключения доступа в интернет для отдельных приложений. Очевидно, что многим приложениям, таким как фонарик, обои, скины интерфейса, многие игры, просто не нужен доступ в интернет, а злоумышленники пользуются этой уязвимостью.
- Интерфейс App Ops должен быть улучшен и правильно интегрирован в основной интерфейс ОС, в том числе в раздел «Настройки» – «Приложения» и в интерфейс Play Store.
Фонд электронных рубежей рекомендует обычным пользователям, которые заботятся о сохранности личной информации, пока воздержаться от обновления на Android 4.4.2. В то же в апдейте закрывается ряд дыр в безопасности, так что каждому придётся сделать личный выбор между приватностью и безопасностью.
«Google, правильные действия в такой ситуации очевидны», — обращается с призывом Фонд электронных рубежей.
Автор: alizar
