Oprávnenia OS Android sú súčasne najlepším priateľom a najhorším nepriateľom vývojárov. Niektoré z najlepších dostupných aplikácií dokonca od renomovaných vývojárov a spoločností stále potrebujú pekne hlboké oprávnenia aj k najzákladnejším veciam.
Na druhú stranu spory okolo malwaru v OS Android spôsobujú z dlhého zoznamu oprávnení pred samotnou inštaláciou novej aplikácie desivý zážitok.
Prečítajte si zoznam povolení a porovnajte ich s vlastnosťami aplikácie
Vždy, keď inštalujete nejakú aplikáciu do OS Android, zobrazí sa vám zoznam oprávnení, ktoré aplikácia vyžaduje pre svoje fungovanie. Ak ste tento zoznam doteraz neskúmali skôr, ako ste ťukli na „Inštalovať“, začnite s tým. Budete mať lepšií prehľad o tom, aké informácie aplikácia v skutočnosti potrebuje a k akým funkciám prístroja má aplikácia prístup. Je lákavé jednoducho zoznam preskočiť, ale odolajte: mali by ste sa aspoň pozrieť, aby ste si boli vedomí, čo zoznam obsahuje.
Prvá vec, ktorú musíte pochopiť je, čo všetky tie oprávnenia ktoré aplikácii povolíte vlastne znamenajú. Niektoré aplikácie vyžadujú tony povolení, len aby sa spustili (Facebook, Google+, Gmail, atď), zatiaľ čo iné požadujú relatívne málo. Toto vlákno na Android fóre vám skvelo vysvetlí ako fungujú oprávnenia a čo každý typ robí.
Kompletne aj s príkladmi pre to, čo každý typ oprávnenia znamená. Je to dobré čítanie, ale v podstate je menej dôležité aby ste pochopili čo každý typ oprávnenia znamená, než aby ste pochopili prečo aplikácie o ne žiadajú pri inštalácii alebo aktualizácii. Uistite sa, že ste si prečítali zoznam oprávnení a pokúste sa spätne ich spojiť s konkrétnou funkciou alebo možnosťami aplikácie.
Ak viete rozumne zdôvodniť prepojenie povolenia s funkciou (napríklad SMS aplikácia ktorá potrebuje čítať SMS správy, alebo aplikácia na identifikáciu volajúceho, ktorá potrebuje prístup k „čítaniu stavu a identity telefónu”), potom je dôvod na obavy malý. Priznajme si to: vo väčšine prípadov je dôvodom na vyžiadanie si oprávnení fakt, že aplikácia ich potrebuje k práci.
Jedinou významnou výnimkou z tohto pravidla sú aplikácie, ktoré vyžadujú prístup do jadra systému. Keď rootnete svoj OS Android, zapezpečíte si prístup k vnútorným funkciám operačného systému vášho telefónu. Ak začne takúto úroveň prístupu vyžadovať nejaká aplikácia, mali by ste sa vážne zamyslieť, či takúto úroveň aplikácia skutočne potrebuje. Aplikácie ako ROM Manager a Titanium Backup tento prístup potrebujú, pretože vykonávajú úlohy na úrovni systému vášho telefónu. Avšak, ak si takúto úroveň prístupu vyžaduje aplikácia hodín alebo dokonca nový spúšťač aplikácie, uistite sa že chápete prečo ju potrebuje ešte pred kliknutím na tlačidlo „Povoliť“. Ak nechápete, nerobte to.
Dajte si pozor na aplikácie, ktoré bezdôvodne kombinujú oprávnenia
„Dokonca ani samotné povolenie prístupu na internet nemôže veľa urobiť – a je vo väčšine aplikácií potrebné na zobrazovanie reklamy. Na čo by ste mali naozaj dávať pozor sú aplikácie, ktoré chtiac – nechtiac kombinujú oprávnenia. Ak máte napríklad nainštalovaný prehliadač súborov s podporou zobrazovania reklám ktorý vyžaduje povolenie na prístup do pamäte zariadenia aj prístup na internet pre zobrazenie reklám – neexistuje žiaden spôsob, ako zabrániť aplikácii v posielaní údajov nachádzajúcich sa v systémoch vášho telefónu (vrátane fotiek z fotoaparátu) na internet.“
Je to pravda. Dokonca aj aplikácie, ktoré vyzerajú, že majú legitímne využitie pre viacero oprávnení môžu byť nebezpečné. MakeUseOf vysvetľuje niektoré typy oprávnení, na ktoré by ste mali dávať pozor, obzvlášť ak sú skombinované v jednej aplikácii. Ľahko sa vystrašíte, keď vidíte, koľko informácií mnohé aplikácie požadujú – aj aplikácie z dôveryhodných zdrojov. Ale ak vidíte tie dlhé zoznamy oprávnení, musíte sa spýtať sami seba nasledovné otázky:
- Pochádza táto aplikácia od dôveryhodného vývojára?
- Vyzerá, ako malware?
- Chápem, prečo táto aplikácia potrebuje tieto oprávnenia?
- Vysvetlil mi developer, prečo potrebuje tieto oprávnenia? (Sú uvedené na Google Play, spolu s uvedením dôvodov pre každú žiadosť o povolenie? Väčšinou sú.)
Ak je odpoveď na všetky tieto otázky áno, je všetko v poriadku. Ak začnete odpovedať nie, mali by ste začať uvažovať, či budete naozaj potrebovať takúto aplikáciu.
Dokonca aj aplikácie od dôveryhodných vývojárov môžu zbierať veľké množstvo dát, a to buď pre reklamné a marketingové účely, alebo proste preto, že niekto urobil v programe chybu. Ak máte záujem o aplikáciu od developera, o ktorom ste nikdy nepočuli, nezdôvodní vám na čo potrebuje povolenia ktoré vyžaduje, držte sa od nej ďalej pokiaľ nepochopíte, prečo sú tie oprávnenia nevyhnutné pre daný typ aplikácie.
Vyzvite vývojárov, aby vám vysvetlili ich oprávnenia uvedené na Google Play
Pohľad na aplikáciu vyžadujúcu tony oprávnení môže byť desivý, ale uistite sa že ste skontrolovali zoznam aplikácie na Google Play, skôr než dospejete k unáhleným záverom. Ako sme spomenuli vyššie, v prípade, že developer vysvetlí potrebu každého povolenia pre funkcionalitu svojej aplikácie, nemusíte si robiť starosti, pokiaľ si nemyslíte, že aplikácia robí na pozadí niečo iné. A ak si myslíte že áno, je pravdepodobné, že o tom budú ľudia hovoriť v recenziách k aplikácii.
Skontrolujte popis aplikácie na Google Play, aby ste videli, či developer uviedol oprávnenia v dolnej časti zoznamu vlastností. Stále viac a viac vývojárov toto robí, čiastočne preto, že vedia, že by mali, v boji proti paranoji, ale tiež aby boli transparentní v tom, aké informácie ich aplikácia od vás vyžaduje. Aj v prípade, že ich nezverejnia na Google Play, môžete často nájsť viac informácií na webových stránkach vývojárov. Napríklad manažér úloh Any.DO žiada o desivo vyzerajúce oprávnenia, ale jeden pohľad na Android- Často kladené otázky by mal odstrániť všetky vaše obavy.
Ak nenájdete vysvetlenie oprávnení na Google Play ani na webových stránkach vývojára, pošlite vývojárom e-mail a vypýtajte si ho. Mnoho aplikácií na Google Play má odkaz „Navštíviť webovú stránku vývojára“ alebo odkaz „Zásady ochrany osobných údajov“, ktoré vám poskytnú viac informácií. Dokonca aj keby nemali tieto odkazy, mali by rozhodne mať aspoň odkaz „Kontaktovať vývojárov“, ktorý môžete použiť, napísať im pár riadkov a opýtať sa, prečo ich aplikácia vyžaduje oprávnenia, ktoré vyžaduje. Povzbudzujte ich, aby zverejnili tieto informácie na stránke ich aplikácie na Google Play. Prateek vysvetľuje:
„Samotný Google odporúča vývojárom požadovať čo najmenej oprávnení. Vývojári sú taktiež lenivý – napríklad väčšina vývojárov by k jednoznačnej identifikácii užívateľa pomocou emailovej adresy alebo telefónneho čísla proste požadovala informácie vášho užívateľského účtu (to by mohlo mať viacero dôvodov – napríklad validácia zo strany servera, že aplikácia nie je pirátska). Lepší spôsob, ako to urobiť, je uvedený tu (bez vyžadovania osobných informácií)„.
To je o dôvod viac, prečo vývojári musia byť transparentní pri oprávneniach, ktoré požadujú a prečo užívatelia musia byť opatrní, ale nie paranoidný, a vyzývať vývojárov, keď nevedia, prečo aplikácia potrebuje oprávnenia, ktoré vyžaduje.
Sledujte a upravte si požiadavky aplikácií podľa seba
Ak naozaj chcete nainštalovať aplikáciu, ktorá má sporné oprávnenie alebo aplikáciu s oprávneniami ktorým jednoducho nerozumiete (alebo si myslíte, že nie sú nevyhnutné pre fungovanie aplikácie), existujú aplikácie, ktoré vám môžu pomôcť. Niektoré zabránia dotieravým aplikáciám v získavaní dát ktoré chcú, iné len sledujú nainštalované aplikácie či nevykonávajú čokoľvek podozrivé. Napríklad:
- PDroid Privacy Protection (vyžaduje root) je vyššie uvedená aplikácia, ktorá dohliada na typ informácií, ktoré vaše aplikácie vyžadujú a umožňuje ich povolenie alebo zákaz jednotlivým aplikáciám. Môžete zablokovať prístup k osobným alebo identifikačným údajom pre každú aplikáciu, ktorú ste nainštalovali, a to tak že neprerušíte chod aplikácie.
- LBE Privacy Guard (vyžaduje root) pôsobí trochu ako aplikácia založená na princípe firewallu pre Android. Upozorní vás, ak sa aplikácia pokúsi o prístup k dátam a dáva vám možnosť prístup povoliť alebo zakázať. Kľúčom je, že ak zakážete niečo, čo aplikácia potrebuje pre správne fungovanie, pravdepodobne to spôsobí jej pád, takže budete musieť popremýšlať, čo odmietnete. Pamätajte, že ľudia mali radi starú verziu a nová verzia nebola tak dobre prijatá na Google Play, takže sa vaše hodnotenie môže líšiť.
- PermissionDog je ďalšia aplikácia, ktorú milujeme, pretože vám ukáže hneď na prvý pohľad ako presne nebezpečné vaše nainštalované aplikácie sú. Viete to už len tým, že sa prejdete zoznamom aplikácií, v ktorom je uvedené, ktoré z nich sú v poriadku, a ktorým by ste mali venovať zvýšenú pozornosť. Ale aj tak to budete musieť preskúmať podrobnejšie: napríklad Google Voice je označený ako nebezpečný, pretože vyžaduje prístup k informáciám o stave telefónu, identite, k SMS správam, režimu spánku / prebudenia a ďaľšie iné oprávnenie. To je správna klasifikácia, ale Google Voice nakoniec prešiel testom.
- Pocket Permissions je kompletný sprievodca oprávneniami aplikácií. Je to užitočný pomocník pre začiatočníkov v OS Android alebo kohokoľvek iného, kto má záujem o danú tému, a chce viac detailov o tom, čo každý typ oprávnenia konkrétne znamená a aké dáta sú k dispozícii, pokiaľ je toto povolenie udelené. Môžete použiť aplikáciu k preskúmaniu oprávnenií a aby ste pochopili, prečo ich ostatné aplikácie potrebujú, vyhľadávať podľa jednotlivých povolení aby ste videli ktoré aplikácie ich požadujú, radiť ich podľa rizika a významu, a oveľa viac. Stojí 2$, ale oplatí sa.
- ESET Mobile Security pre Android je vynikajúci antivírus pre Android spojený s Anti Phishingom. Technológia Anti-Theft zabezpečí, že ak sa niekto snaží dostať k vašim osobným dátam, spraví snímky, pošle ich na my.eset.com a uzamkne zariadenie.
Kým podľahnete panike, urobte si výskum
Neexistuje žiadny dôvod k hnevu zakaždým, keď nájdete aplikáciu, ktorá vyžaduje veľký počet oprávnení. V mnohých prípadoch môže byť problémom fakt, že nechápeme, prečo aplikácia potrebuje oprávnenia ktoré požaduje – môže to mať súvis s OS Android, že developer musel splniť niektoré podmienky, aby aplikácia správne fungovala. Môže to byť aj funkcia aplikácie, ktorá vám nie je úplne jasná.
Než sa necháte vyviesť z miery a obviníte vývojára z krádeže vašich dát, skontrolujte Google Play alebo sa spýtajte priamo vývojára. Ak to znie ako príliš veľa úsilia, jednoducho aplikáciu neinštalujte a nájdite si transparentnejšiu alternatívu.
„Nakoniec, ako používateľ by ste mali vývojárom dôverovať v tom, čo robia s oprávneniami. Môžete si urobiť dobrý odborný odhad – o tom to je. Ako vývojár zase musíte transparentne zdôvodniť čo a prečo potrebuje každé povolenie. Napríklad, ak potrebujete zhromaždiť analýzy o vašej aplikácii a zverejniť výsledky na servery, potrebujete oprávnenie k prístupu na internet. Ale ak je vaša aplikácia jednoducho len len zobrazenie hodín – používatelia budú zmätený, prečo ste si vyžiadali takéto oprávnenie.„