maanantai 16. kesäkuuta 2014

Hölmö päivitys Google Playhin: Ryhmäkäytännöt

Jatkossa Google Play sovelluskaupassa sovelluksien oikeudet ilmoitetaan ryhmissä ja vielä siten että sovelluskehittäjä voi lisätä tai poistaa oikeuksia ryhmien sisällä sovelluksen automaattisen päivityksen yhteydessä ilman että käyttäjä saisi tietää siitä.

Google ei ole miettinyt päivityksessään käyttäjän tietoturvaa mitä ilmeisemmin laisinkaan vaan on ajatellut tehdä asennuksista helpompaa ja suoraviivaisempaa, varsinkin jos sovellusten automaattinen päivitys on käytössä, käyttäjän tietoturva voi joutua vaaraan.

Vuoden alussa oli paljon keskustelua siitä kun jotkut selainlaajennuksia tehneet sovelluskehittäjät olivat myyneet sovelluksensa mainostajille jotka oston jälkeen sitten lisäsivät lisäosiin käyttäjän kannalta haitallisia toimintoja, nämäkin tapahtui siten ettei käyttäjälle kerrottu päivityksen yhteydessä muuttuneista oikeuksista.

Google ainakin korjasi tuolloin Google Chromen lisäosakäytännöt ja alkoi pyytämään lisäosille erikseen oikeuden käynnistyä mikäli päivityksen yhteydessä oikeudet muuttuivat.

Nyt tilanne voi uuden käytännön suhteen olla vielä pahempi kuin alkuvuoden selain laajennuksien suhteen, sillä sovelluksen automaattisen päivityksen yhteydessä käyttäjälle ei ilmoiteta enää mikäli johonkin jo aikaisemmin hyväksyttyyn oikeusryhmään on annettu lupa, ei vaikka ryhmän sisällä tapahtuisi muutoksia.

Google mitä ilmeisemmin ajattelee että käyttäjää asia ei kiinnosta tai tieto ei ole tarpeellinen koska käyttäjä on antanut kyseiselle oikeusryhmälle jo oikeudet, ilmeisesti se on Googlen mielestä käyttäjälle tämän jälkeen aivan sama mitä sovellus päivityksen jälkeen tekee.

Muutama vakava esimerkki:

Esimerkiksi yhteystietojen sekä kalenterin oikeudet on asetettu samaan ryhmäkäytäntöön, joten aluksi kun ohjelma pyytää oikeuksia vaikkapa pelkästään kalenteriin, voi sovelluskehittäjä jatkossa lisätä oikeudet yhteystietoihin siten että se voi muokata niitä ja tämä siis ilman että käyttäjä saisi siitä minkäänlaista varoitusta jatkossa.

Myöskin tekstiviestien käsittelyn oikeuksia voidaan muuttaa, ensiksi sovellus hakee oikeuksia lukea ne mutta yllättäen sovellukselle voi ilmaantua oikeudet myös lähettää niitä.

Sovelluksen asennuksen yhteydessä on toki mahdollista nähdä ryhmät ja niiden sisältämät oikeudet mutta harvempi käyttäjä niihin huomiota kiinnittää.

Suosituksia jatkolle:

Suositus onkin että Google Playsta käydään ottamassa automaattiset päivitykset pois ja sovelluspäivitykset hoidetaan jatkossa manuaalisesti, tällöin muuttuneet oikeudet voi käydä sovelluskohtaisesti läpi.

F-Secure on myös kehittänyt Androidille sovelluksen jonka avulla voi tarkistaa asennettujen sovellusten oikeudet helpon käyttöliittymän avulla. F-Secure App Permissions sovelluksen voi ladata täältä. (Google Play).

LÄHDE: The Hacker News