Balul sülhet el a Google androidos ötletelése

A Google a Play áruház kapcsán olyan változtatásokat eszközölt, amelyek első ránézésre felhasználóbarátabbá teszik az alkalmazások telepítését. Mindez azonban könnyen a biztonság rovására mehet.
 

Az Android platformra fejlesztett kártékony alkalmazások méregfoga az esetek többségében nagyon könnyen kihúzható lenne. Csupán arra lenne szükség, hogy az ilyen programok által - sok esetben feltűnően mohó módon - kért engedélyek megadásakor a felhasználó egyszerűen nemet mondjon. Például amikor egy egyszerű játékprogram a WiFi-től kezdve a telefonhívások kezelésén át az SMS-küldésig mindenhez hozzá akar férni, akkor az bizony gyanakvásra adhat okot. Sajnos azonban a mindennapok tapasztalata az, hogy ezeket az engedélyeket a készüléktulajdonosok többsége szó nélkül megadja, így szabad utat biztosít a károkozásoknak. Ezzel a helyzettel a Google is pontosan tisztában van, ezért a Play áruház némi átalakításával igyekezett egyszerűbbé, átláthatóbbá tenni a jogosultságok kezelését. 

"Az engedélyeket könnyen azonosítható ikonokkal ellátott engedélycsoportokba rendeztük, melyek egyértelművé teszik a legfontosabb információkat és funkciókat, amikhez az alkalmazás hozzáfér az eszközén. Ezen információ alapján könnyebben hozhat döntést arról, hogy szeretné-e telepíteni az alkalmazást" - tájékoztatta a felhasználókat a Google. Emellett jelezte, hogy folyamatosan monitorozza a Google Play irányelveit esetlegesen megsértő alkalmazásokat, és szükség esetén rögtön megteszi a védelmi intézkedéseket. Természetesen azért továbbra is megmarad a lehetőség az egyes alkalmazások által igényelt engedélyek pontos listájának megtekintésére, felülvizsgálatára. 
Biztonsági aggályok

Az engedélycsoportok kapcsán történő fejlesztések első ránézésre kedvezőnek tűnhetnek, azonban egyre több biztonsági szakértő ad hangot aggodalmának. A Google által bevezetett módosítások ugyanis könnyen a visszájukra fordulhatnak legalábbis a kártékony alkalmazások elleni védekezés szempontjából. Tudjuk azt, hogy a kényelem és a biztonság nem jár mindig kéz a kézben, és most is ez a helyzet. 

A problémát az jelenti, hogy amikor a felhasználó egy alkalmazás telepítése során lehetőséget ad egy szoftver számára egy-egy engedélycsoportnak megfelelő működésre, akkor a program frissítésekor meglepetések érhetik. A jelenlegi állapot szerint ugyanis az automatikus frissítések során az Android már nem jelzi azt, ha az adott alkalmazás a már előzőleg jóváhagyott engedélycsoporton belül újabb jogosultságokat igényel magának - azokat automatikusan megkapja. Így például előfordulhat az az eset, hogy a szoftver a telepítésekor az SMS engedélycsoporton belül csak az üzenetek olvasására kér engedélyt, majd a következő frissítésekor már SMS-küldésre is igényt tart. Ebből pedig a felhasználó nem sok mindent fog észrevenni. Ez alól kivételt jelent az az eset, amikor a programnak egy olyan engedélycsoportra is szüksége van, amire korábban nem, ugyanis ekkor a felhasználói jóváhagyás megkerülhetetlen.
"A legtöbb felhasználó nem foglalkozik az engedélyekkel. Azonban azt nem tudom elfogadni, hogy ne kapjanak értesítést arról, hogy ha egy bizonyos engedélycsoporton belül újabb jogosultságok kerülnek megadásra. Ez a lépés teljesen rossz irányba vezet" - nyilatkozta Georgia Weidman, a Bulb Security elnök-vezérigazgatója. További aggályokat vet fel az is, hogy a Google egész egyszerűen a hálózati kommunikációs engedélyeket (köztük a "teljes internet-hozzáférés" engedélyt) "eltávolította". Ezt a döntést azzal indokolta, hogy a legtöbb alkalmazás működéséhez ezekre a jogokra mindenképpen szükség van. 

Mit lehet tenni?

"Ebben a helyzetben a legjobb tanácsként az adható, hogy azok a felhasználók, akik aggódnak az engedélyek miatt, változtassák meg a beállításokat, és kapcsolják ki az automatikus frissítést legalább azon alkalmazások esetében, amelyekben nem bíznak meg maradéktalanul. Ezzel lehetőség adódik arra, hogy a manuális frissítések alkalmával az engedélyek ellenőrizhetők maradjanak" - mondta Marc Rogers, a Lookout vezető kutatója.