Balul sülhet el a Google androidos ötletelése

A Google a Play áruház kapcsán olyan változtatásokat eszközölt, amelyek első ránézésre felhasználóbarátabbá teszik az alkalmazások telepítését. Mindez azonban könnyen a biztonság rovására mehet.
 

Az Android platformra fejlesztett kártékony alkalmazások méregfoga az esetek többségében nagyon könnyen kihúzható lenne. Csupán arra lenne szükség, hogy az ilyen programok által - sok esetben feltűnően mohó módon - kért engedélyek megadásakor a felhasználó egyszerűen nemet mondjon. Például amikor egy egyszerű játékprogram a WiFi-től kezdve a telefonhívások kezelésén át az SMS-küldésig mindenhez hozzá akar férni, akkor az bizony gyanakvásra adhat okot. Sajnos azonban a mindennapok tapasztalata az, hogy ezeket az engedélyeket a készüléktulajdonosok többsége szó nélkül megadja, így szabad utat biztosít a károkozásoknak. Ezzel a helyzettel a Google is pontosan tisztában van, ezért a Play áruház némi átalakításával igyekezett egyszerűbbé, átláthatóbbá tenni a jogosultságok kezelését. 

"Az engedélyeket könnyen azonosítható ikonokkal ellátott engedélycsoportokba rendeztük, melyek egyértelművé teszik a legfontosabb információkat és funkciókat, amikhez az alkalmazás hozzáfér az eszközén. Ezen információ alapján könnyebben hozhat döntést arról, hogy szeretné-e telepíteni az alkalmazást" - tájékoztatta a felhasználókat a Google. Emellett jelezte, hogy folyamatosan monitorozza a Google Play irányelveit esetlegesen megsértő alkalmazásokat, és szükség esetén rögtön megteszi a védelmi intézkedéseket. Természetesen azért továbbra is megmarad a lehetőség az egyes alkalmazások által igényelt engedélyek pontos listájának megtekintésére, felülvizsgálatára. 


Biztonsági aggályok

Az engedélycsoportok kapcsán történő fejlesztések első ránézésre kedvezőnek tűnhetnek, azonban egyre több biztonsági szakértő ad hangot aggodalmának. A Google által bevezetett módosítások ugyanis könnyen a visszájukra fordulhatnak legalábbis a kártékony alkalmazások elleni védekezés szempontjából. Tudjuk azt, hogy a kényelem és a biztonság nem jár mindig kéz a kézben, és most is ez a helyzet. 

A problémát az jelenti, hogy amikor a felhasználó egy alkalmazás telepítése során lehetőséget ad egy szoftver számára egy-egy engedélycsoportnak megfelelő működésre, akkor a program frissítésekor meglepetések érhetik. A jelenlegi állapot szerint ugyanis az automatikus frissítések során az Android már nem jelzi azt, ha az adott alkalmazás a már előzőleg jóváhagyott engedélycsoporton belül újabb jogosultságokat igényel magának - azokat automatikusan megkapja. Így például előfordulhat az az eset, hogy a szoftver a telepítésekor az SMS engedélycsoporton belül csak az üzenetek olvasására kér engedélyt, majd a következő frissítésekor már SMS-küldésre is igényt tart. Ebből pedig a felhasználó nem sok mindent fog észrevenni. Ez alól kivételt jelent az az eset, amikor a programnak egy olyan engedélycsoportra is szüksége van, amire korábban nem, ugyanis ekkor a felhasználói jóváhagyás megkerülhetetlen.


"A legtöbb felhasználó nem foglalkozik az engedélyekkel. Azonban azt nem tudom elfogadni, hogy ne kapjanak értesítést arról, hogy ha egy bizonyos engedélycsoporton belül újabb jogosultságok kerülnek megadásra. Ez a lépés teljesen rossz irányba vezet" - nyilatkozta Georgia Weidman, a Bulb Security elnök-vezérigazgatója. További aggályokat vet fel az is, hogy a Google egész egyszerűen a hálózati kommunikációs engedélyeket (köztük a "teljes internet-hozzáférés" engedélyt) "eltávolította". Ezt a döntést azzal indokolta, hogy a legtöbb alkalmazás működéséhez ezekre a jogokra mindenképpen szükség van. 

Mit lehet tenni?

"Ebben a helyzetben a legjobb tanácsként az adható, hogy azok a felhasználók, akik aggódnak az engedélyek miatt, változtassák meg a beállításokat, és kapcsolják ki az automatikus frissítést legalább azon alkalmazások esetében, amelyekben nem bíznak meg maradéktalanul. Ezzel lehetőség adódik arra, hogy a manuális frissítések alkalmával az engedélyek ellenőrizhetők maradjanak" - mondta Marc Rogers, a Lookout vezető kutatója.
 
  1. 4

    Nyolc sérülékenységet orvosoltak a FreeRDP fejlesztői.

  2. 4

    Az Ubiquiti mielőbbi biztonsági frissítésre hívta fel a figyelmet.

  3. 4

    Jelentős biztonsági frissítőcsomag érkezett a Fireware OS-hez.

  4. 4

    Az AVideo kapcsán két veszélyes sebezhetőség látott napvilágot.

  5. 4

    A FreeBSD jelentős biztonsági frissítést kapott.

  6. 4

    Jelentős biztonsági frissítést kapott a wolfSSL.

  7. 4

    Két sérülékenység található a WinRAR szoftverben.

  8. 3

    Nyolc biztonsági hiba veszélyezteti a ClamAV-ot.

  9. 4

    A Google Chrome legújabb verziója 382 különféle sebezhetőséget szüntet meg.

  10. 4

    Soron kívüli biztonsági frissítés érkezett az Adobe ColdFusionhöz.

Partnerhírek
Nagy kockázat a cégeknek, ha a dolgozók AI-t használnak

Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül.

Chatbotok és szelfik: így formálja a digitális világ a gyerekek biztonságát

Gyermeknap közeledtével érdemes arra is gondolni, milyen digitális környezetben nőnek fel ma a gyerekek és ebben milyen szerepet játszanak az egyre népszerűbb AI chatbotok.

hirdetés
Közösség