Разрешения приложения - Application permissions
Разрешения являются средством контроля и регулирования доступа к определенным функциям на уровне системы и устройства с помощью программного обеспечения. Обычно типы разрешений охватывают функции, которые могут иметь Конфиденциальность последствия, такие как возможность доступа к аппаратным функциям устройства (включая камера и микрофон ), и персональные данные (например, хранилище устройства, список контактов, и подарок пользователя географическое положение ). Разрешения обычно объявляются в приложении манифест, и определенные разрешения должны быть специально предоставлены во время выполнения пользователем, который может отозвать разрешение в любое время.
Системы разрешений распространены на мобильные операционные системы, где разрешения необходимы для определенных Программы должны быть раскрыты через платформу магазин приложений.
Мобильные устройства
В мобильных операционных системах для смартфоны и таблетки, типовые виды разрешений регулируют:[1][2]
- Доступ к место хранения и личная информация, например контакты, календарные встречи и т. д.
- Отслеживание местоположения.
- Доступ к внутреннему камера и / или микрофон.
- Доступ к биометрический датчики, в том числе считыватели отпечатков пальцев и другие датчики здоровья ..
- Интернет доступ.
- Доступ к интерфейсам связи (включая их аппаратные идентификаторы и уровень сигнала, где это применимо, а также запросы на их включение), например блютуз, Wi-Fi, Связь ближнего поля (NFC) и другие.
- Изготовление и получение телефонные звонки.
- Отправка и чтение текстовые сообщения
- Умение выполнять покупки в приложении.
- Возможность «накладывать» себя на другие приложения.
- Установка, удаление и иное управление приложениями.
- Жетоны аутентификации (т.е. OAuth единиц) веб-сервисов, хранящихся в системном хранилище, для совместного использования между приложениями.
До Android 6.0 Marshmallow, разрешения были автоматически предоставлены приложениям во время выполнения, и они были представлены при установке в Google Play магазин. Начиная с Marshmallow, некоторые разрешения теперь требуют, чтобы приложение запрашивало разрешение пользователя во время выполнения. Эти разрешения также могут быть отозваны в любое время через меню настроек Android.[3] Иногда разработчики приложений злоупотребляют разрешениями на Android для сбора личной информации и доставки рекламы; в частности, приложения для использования вспышки камеры телефона в качестве фонарик (которые стали в значительной степени избыточными из-за интеграции такой функциональности на системном уровне в более поздних версиях Android), как известно, требуют большого массива ненужных разрешений сверх того, что действительно необходимо для заявленной функциональности.[4]
iOS предъявляет аналогичное требование к разрешениям, которые должны быть предоставлены во время выполнения, с конкретными элементами управления, предлагаемыми для включения Bluetooth, Wi-Fi и отслеживания местоположения.[5][6]
WebPermissions
WebPermissions - это система разрешений для веб-браузеры.[7] Когда веб приложение требуются некоторые данные за разрешением, он должен сначала запросить их. Когда он это делает, пользователь видит окно с просьбой сделать выбор. Выбор запоминается, но в последнее время его можно очистить.
В настоящее время контролируются следующие ресурсы:
- геолокация[8]
- уведомления на рабочем столе[9]
- работники сферы обслуживания[10][11]
- датчики
- устройства для захвата звука,[12] любить звуковые карты, а также их названия моделей и характеристики
- устройства видеозахвата,[12] любить камеры, а также их идентификаторы и характеристики
Анализ
В этом разделе тон или стиль могут не отражать энциклопедический тон используется в Википедии.Февраль 2020 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Модель управления доступом на основе разрешений назначает приложениям права доступа к определенным объектам данных. Это производная от модели дискреционного контроля доступа. Разрешения на доступ обычно предоставляются в контексте конкретного пользователя на определенном устройстве. Разрешения предоставляются постоянно с несколькими автоматическими ограничениями.
В некоторых случаях разрешения реализуются по принципу «все или ничего»: пользователь либо должен предоставить все запрошенные разрешения приложению, либо быть не в состоянии использовать приложение. Он остается непрозрачным для пользователя, когда разрешение используется программой или приложением для доступа к данным, защищенным механизмом управления доступом. Даже если пользователь может отозвать разрешение, приложение может шантажировать пользователь, отказываясь работать, например, просто грохот.
Механизм разрешений подвергался широкой критике со стороны исследователей по нескольким причинам, в том числе:
- Непрозрачность извлечения персональных данных и наблюдения, включая создание ложного чувства безопасности;[13][14]
- Усталость конечного пользователя от микроуправления разрешениями на доступ ведет к фаталистическому восприятию наблюдения и непрозрачности;[15]
- После получения разрешений осуществляется массовое извлечение данных и персональное наблюдение.[16][17]
Существуют некоторые решения, такие как XPrivacy, которые вместо предоставления доступа к запрошенным данным вместо того, чтобы генерировать исключение и сбой приложения, возвращающего дезинформация чтобы приложение работало так, как если бы разрешение было предоставлено. Mockdroid[18] еще один пример такого подхода. Также можно использовать статический анализ для анализа запрошенных разрешений.[19] Дополнительные методы прозрачности включают продольное поведенческое профилирование и анализ доступа к данным приложений из нескольких источников.[20][21]
использованная литература
- ^ "Manifest.permission - разработчики Android". developer.android.com.
- ^ «Руководство по безопасности iOS» (PDF).
- ^ Чимпану, Каталин. «Жадные до разрешений приложения задерживают обновление Android 6, чтобы они могли собирать больше пользовательских данных». ZDNet. Получено 2020-01-10.
- ^ Чимпану, Каталин. «Большинство приложений для фонарей Android запрашивают абсурдное количество разрешений». ZDNet. Получено 2020-01-10.
- ^ Чиприани, Джейсон. «Держите свое местоположение в секрете с новыми функциями конфиденциальности iOS 13». CNET. Получено 2019-08-08.
- ^ Уэлч, Крис (19.09.2019). «Вот почему так много приложений просят использовать Bluetooth на iOS 13». Грани. Получено 2019-09-26.
- ^ «Разрешения». w3c.github.io. Получено 2019-05-10.
- ^ «Спецификация API геолокации, 2-е издание». www.w3.org.
- ^ «Стандарт API уведомлений». notifications.spec.whatwg.org.
- ^ "Push API". www.w3.org.
- ^ «Синхронизация веб-фона». wicg.github.io.
- ^ а б «Захват мультимедиа и трансляции». w3c.github.io.
- ^ Моен, Гро Метте, Айло Крог Равна и Финн Мирстад: Обманутые дизайном - Как технологические компании используют темные шаблоны, чтобы помешать нам использовать наши права на конфиденциальность., 2018, Совет потребителей Норвегии / Forbrukerrådet. Отчет. https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design
- ^ Фрич, Лотар; Момен, Нурул (2017). «Производные частичные удостоверения, созданные на основе разрешений приложений». Gesellschaft für Informatik: 117–130. Цитировать журнал требует
| журнал =
(Помогите) - ^ Келли, Патрик Гейдж; Консольво, Солнечный; Кранор, Лорри Фейт; Чон, Джэён; Садех, Норман; Wetherall, Дэвид (2012). Блит, Джим; Дитрих, Свен; Кэмп, Л. Жан (ред.). «Загадка разрешений: установка приложений на Android-смартфон». Финансовая криптография и безопасность данных. Конспект лекций по информатике. Springer Berlin Heidelberg. 7398: 68–79. Дои:10.1007/978-3-642-34638-5_6. ISBN 978-3-642-34638-5.
- ^ Momen, N .; Hatamian, M .; Фрич, Л. (ноябрь 2019 г.). «Улучшилась ли конфиденциальность приложений после GDPR?». IEEE Security Конфиденциальность. 17 (6): 10–20. Дои:10.1109 / MSEC.2019.2938445. ISSN 1558-4046. S2CID 203699369.
- ^ Момен, Нурул (2020). «Измерение конфиденциальности приложений: обеспечение прозрачности доступа к данным приложений». Цитировать журнал требует
| журнал =
(Помогите) - ^ Бересфорд, Аластер Р .; Райс, Эндрю; Скехин, Николай; Сохан, Рипдуман (2011). «MockDroid». Материалы 12-го семинара по мобильным вычислительным системам и приложениям - HotMobile '11. Нью-Йорк, Нью-Йорк, США: ACM Press: 49. Дои:10.1145/2184489.2184500. ISBN 978-1-4503-0649-2. S2CID 2166732.
- ^ Бартель, Александр; Кляйн, Жак; Ле Траон, Ив; Монперрус, Мартин (2012). «Автоматическая защита программного обеспечения на основе разрешений за счет уменьшения поверхности атаки: приложение для Android». Материалы 27-й Международной конференции IEEE / ACM по автоматизированной разработке программного обеспечения - ASE 2012. п. 274. arXiv:1206.5829. Дои:10.1145/2351676.2351722. ISBN 9781450312042. S2CID 2268022.
- ^ Момен, Нурул (2018). "На пути к оценке конфиденциальности приложений". Дива.
- ^ Хатамян, Маджид; Момен, Нурул; Фрич, Лотар; Ранненберг, Кай (2019). Нальди, Маурицио; Italiano, Джузеппе Ф .; Ранненберг, Кай; Медина, Манель; Бурка, Афина (ред.). «Многосторонний метод анализа воздействия на конфиденциальность приложений Android». Технологии и политика конфиденциальности. Конспект лекций по информатике. Издательство Springer International. 11498: 87–106. Дои:10.1007/978-3-030-21752-5_7. ISBN 978-3-030-21752-5.