A Google egyszerűsítette a Play áruházból letöltött alkalmazások kezelését, hogy javítsa és átláthatóbbá tegye az appok jogosultságainak a kezelését. Szakértők szerint azonban ezzel épp az ellenkező hatást érheti el – írja a témáról készített összefoglalójában a Biztonságportál.

Oda kellene figyelni a jogosultásgokra

Az Android platformra fejlesztett kártékony alkalmazások méregfoga az esetek többségében nagyon könnyen kihúzható lenne. Csupán arra lenne szükség, hogy a felhasználó nemet mondjon az ilyen programok által kért – sok esetben feltűnően széles körű – engedélyekre. Ha például egy egyszerű játékprogram a Wi-Fi-től kezdve a telefonhívások kezelésén át az SMS-küldésig mindenhez hozzá akar férni, érdemes lenne gyanakodni – és ezeket nem engedélyezni. A készüléktulajdonosok többsége azonban nem foglakozik ezzel, szinte automatikusan az enegdélyezés gombra nyom, amivel gyakorlatilag szabad utat biztosít a veszélyes programoknak.

Erre reagálva a Google átalakította a Play áruházat, hogy egyszerűbbé, átláthatóbbá tegye a jogosultságok kezelését.

"Az engedélyeket könnyen azonosítható ikonokkal ellátott engedélycsoportokba rendeztük, melyek egyértelművé teszik a legfontosabb információkat és funkciókat, amikhez az alkalmazás hozzáfér az eszközén. Ezek alapján könnyebben hozhat döntést arról, hogy szeretné-e telepíteni az alkalmazást" – tájékoztatta a felhasználókat a Google. Az áruházban egyébként folyamatosan ellenőrzik az alkalmazásokat, hogy nem sértik-e meg a Google Play irányelveit, és ha veszélyes alkalmazásra bukkannak, azonnal életbe lépnek a védelmi intézkedések. Emellett megmaradt annak a lehetősége is, hogy a felhasználó kilistázza az egyes alkalmazások által igényelt engedélyeket, és azokat felülbírálja.

Egyszerűsítés vs biztonság

Az engedélycsoportok bevezetése első ránézésre kedvezőnek tűnhet. Csakhogy a módosítások könnyen a visszájukra fordulhatnak a kártékony alkalmazások elleni védekezés szempontjából – figyelmeztetnek szakértők. Itt is igaz lehet az az általános szabály, hogy a kényelem és a biztonság nem jár mindig kéz a kézben.

De melyik részletben van az ördög?

Addig minden rendben, hogy a felhasználó egy alkalmazás telepítésekor könnyebben elboldogul engedélycsoportokkal. Az app frissítésekor azonban már érheti meglepetés. Jelenleg ugyanis az automatikus frissítések során az Android már nem jelzi, ha az adott alkalmazás a már előzőleg jóváhagyott engedélycsoporton belül újabb jogosultságokat igényel magának, így azokat automatikusan megkapja. Előfordulhat például, hogy telepítésekor az SMS engedélycsoporton belül csak az üzenetek olvasására kér engedélyt az adott app, de frissítésekor már SMS-küldésre is igényt tart. Csakhogy ez utóbbiról a felhasználó nem is tud, ugyanis csak arról kap értesítést, ha egy korábban nem engedélyezett jogosultságcsoportra is benyújtja az igényét az alkalmazás. Ahhoz ugyanis már kell a felhasználó jóváhagyása.

A problémát tetézi – mint arra Georgia Weidman, a Bulb Security elnök-vezérigazgatója felhívta a figyelmet –, hogy a Google egész egyszerűen a hálózati kommunikációs engedélyek egy részének megadását – köztük a "teljes internet-hozzáférés" engedélyt – automatikusan megadja arra hivatkozva, hogy a legtöbb alkalmazás működéséhez ezekre a jogokra mindenképpen szükség van.

A Lookout vezető kutatója, Marc Rogers szerint így a biztonságtudatos felhasználóknak egyetlen eszközük maradt a védekezésre: ki kell kapcsolni az automatikus frissítést azoknál az alkalmazásoknál, amelyekben nem bízunk meg maradéktalanul. A manuális frissítéseknél ugyanis továbbra is ellenőrizhetjük az alkalmazások által kért engedélyeket.