Разрешения приложения - Application permissions

Разрешения являются средством контроля и регулирования доступа к определенным функциям на уровне системы и устройства с помощью программного обеспечения. Обычно типы разрешений охватывают функции, которые могут иметь Конфиденциальность последствия, такие как возможность доступа к аппаратным функциям устройства (включая камера и микрофон ), и персональные данные (например, хранилище устройства, список контактов, и подарок пользователя географическое положение ). Разрешения обычно объявляются в приложении манифест, и определенные разрешения должны быть специально предоставлены во время выполнения пользователем, который может отозвать разрешение в любое время.

Системы разрешений распространены на мобильные операционные системы, где разрешения необходимы для определенных Программы должны быть раскрыты через платформу магазин приложений.

Мобильные устройства

В мобильных операционных системах для смартфоны и таблетки, типовые виды разрешений регулируют:[1][2]

До Android 6.0 Marshmallow, разрешения были автоматически предоставлены приложениям во время выполнения, и они были представлены при установке в Google Play магазин. Начиная с Marshmallow, некоторые разрешения теперь требуют, чтобы приложение запрашивало разрешение пользователя во время выполнения. Эти разрешения также могут быть отозваны в любое время через меню настроек Android.[3] Иногда разработчики приложений злоупотребляют разрешениями на Android для сбора личной информации и доставки рекламы; в частности, приложения для использования вспышки камеры телефона в качестве фонарик (которые стали в значительной степени избыточными из-за интеграции такой функциональности на системном уровне в более поздних версиях Android), как известно, требуют большого массива ненужных разрешений сверх того, что действительно необходимо для заявленной функциональности.[4]

iOS предъявляет аналогичное требование к разрешениям, которые должны быть предоставлены во время выполнения, с конкретными элементами управления, предлагаемыми для включения Bluetooth, Wi-Fi и отслеживания местоположения.[5][6]

WebPermissions

WebPermissions - это система разрешений для веб-браузеры.[7] Когда веб приложение требуются некоторые данные за разрешением, он должен сначала запросить их. Когда он это делает, пользователь видит окно с просьбой сделать выбор. Выбор запоминается, но в последнее время его можно очистить.

В настоящее время контролируются следующие ресурсы:

  • геолокация[8]
  • уведомления на рабочем столе[9]
  • работники сферы обслуживания[10][11]
  • датчики
    • устройства для захвата звука,[12] любить звуковые карты, а также их названия моделей и характеристики
    • устройства видеозахвата,[12] любить камеры, а также их идентификаторы и характеристики

Анализ

Модель управления доступом на основе разрешений назначает приложениям права доступа к определенным объектам данных. Это производная от модели дискреционного контроля доступа. Разрешения на доступ обычно предоставляются в контексте конкретного пользователя на определенном устройстве. Разрешения предоставляются постоянно с несколькими автоматическими ограничениями.

В некоторых случаях разрешения реализуются по принципу «все или ничего»: пользователь либо должен предоставить все запрошенные разрешения приложению, либо быть не в состоянии использовать приложение. Он остается непрозрачным для пользователя, когда разрешение используется программой или приложением для доступа к данным, защищенным механизмом управления доступом. Даже если пользователь может отозвать разрешение, приложение может шантажировать пользователь, отказываясь работать, например, просто грохот.

Механизм разрешений подвергался широкой критике со стороны исследователей по нескольким причинам, в том числе:

  • Непрозрачность извлечения персональных данных и наблюдения, включая создание ложного чувства безопасности;[13][14]
  • Усталость конечного пользователя от микроуправления разрешениями на доступ ведет к фаталистическому восприятию наблюдения и непрозрачности;[15]
  • После получения разрешений осуществляется массовое извлечение данных и персональное наблюдение.[16][17]

Существуют некоторые решения, такие как XPrivacy, которые вместо предоставления доступа к запрошенным данным вместо того, чтобы генерировать исключение и сбой приложения, возвращающего дезинформация чтобы приложение работало так, как если бы разрешение было предоставлено. Mockdroid[18] еще один пример такого подхода. Также можно использовать статический анализ для анализа запрошенных разрешений.[19] Дополнительные методы прозрачности включают продольное поведенческое профилирование и анализ доступа к данным приложений из нескольких источников.[20][21]

использованная литература

  1. ^ "Manifest.permission - разработчики Android". developer.android.com.
  2. ^ «Руководство по безопасности iOS» (PDF).
  3. ^ Чимпану, Каталин. «Жадные до разрешений приложения задерживают обновление Android 6, чтобы они могли собирать больше пользовательских данных». ZDNet. Получено 2020-01-10.
  4. ^ Чимпану, Каталин. «Большинство приложений для фонарей Android запрашивают абсурдное количество разрешений». ZDNet. Получено 2020-01-10.
  5. ^ Чиприани, Джейсон. «Держите свое местоположение в секрете с новыми функциями конфиденциальности iOS 13». CNET. Получено 2019-08-08.
  6. ^ Уэлч, Крис (19.09.2019). «Вот почему так много приложений просят использовать Bluetooth на iOS 13». Грани. Получено 2019-09-26.
  7. ^ «Разрешения». w3c.github.io. Получено 2019-05-10.
  8. ^ «Спецификация API геолокации, 2-е издание». www.w3.org.
  9. ^ «Стандарт API уведомлений». notifications.spec.whatwg.org.
  10. ^ "Push API". www.w3.org.
  11. ^ «Синхронизация веб-фона». wicg.github.io.
  12. ^ а б «Захват мультимедиа и трансляции». w3c.github.io.
  13. ^ Моен, Гро Метте, Айло Крог Равна и Финн Мирстад: Обманутые дизайном - Как технологические компании используют темные шаблоны, чтобы помешать нам использовать наши права на конфиденциальность., 2018, Совет потребителей Норвегии / Forbrukerrådet. Отчет. https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design
  14. ^ Фрич, Лотар; Момен, Нурул (2017). «Производные частичные удостоверения, созданные на основе разрешений приложений». Gesellschaft für Informatik: 117–130. Цитировать журнал требует | журнал = (Помогите)
  15. ^ Келли, Патрик Гейдж; Консольво, Солнечный; Кранор, Лорри Фейт; Чон, Джэён; Садех, Норман; Wetherall, Дэвид (2012). Блит, Джим; Дитрих, Свен; Кэмп, Л. Жан (ред.). «Загадка разрешений: установка приложений на Android-смартфон». Финансовая криптография и безопасность данных. Конспект лекций по информатике. Springer Berlin Heidelberg. 7398: 68–79. Дои:10.1007/978-3-642-34638-5_6. ISBN  978-3-642-34638-5.
  16. ^ Momen, N .; Hatamian, M .; Фрич, Л. (ноябрь 2019 г.). «Улучшилась ли конфиденциальность приложений после GDPR?». IEEE Security Конфиденциальность. 17 (6): 10–20. Дои:10.1109 / MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
  17. ^ Момен, Нурул (2020). «Измерение конфиденциальности приложений: обеспечение прозрачности доступа к данным приложений». Цитировать журнал требует | журнал = (Помогите)
  18. ^ Бересфорд, Аластер Р .; Райс, Эндрю; Скехин, Николай; Сохан, Рипдуман (2011). «MockDroid». Материалы 12-го семинара по мобильным вычислительным системам и приложениям - HotMobile '11. Нью-Йорк, Нью-Йорк, США: ACM Press: 49. Дои:10.1145/2184489.2184500. ISBN  978-1-4503-0649-2. S2CID  2166732.
  19. ^ Бартель, Александр; Кляйн, Жак; Ле Траон, Ив; Монперрус, Мартин (2012). «Автоматическая защита программного обеспечения на основе разрешений за счет уменьшения поверхности атаки: приложение для Android». Материалы 27-й Международной конференции IEEE / ACM по автоматизированной разработке программного обеспечения - ASE 2012. п. 274. arXiv:1206.5829. Дои:10.1145/2351676.2351722. ISBN  9781450312042. S2CID  2268022.
  20. ^ Момен, Нурул (2018). "На пути к оценке конфиденциальности приложений". Дива.
  21. ^ Хатамян, Маджид; Момен, Нурул; Фрич, Лотар; Ранненберг, Кай (2019). Нальди, Маурицио; Italiano, Джузеппе Ф .; Ранненберг, Кай; Медина, Манель; Бурка, Афина (ред.). «Многосторонний метод анализа воздействия на конфиденциальность приложений Android». Технологии и политика конфиденциальности. Конспект лекций по информатике. Издательство Springer International. 11498: 87–106. Дои:10.1007/978-3-030-21752-5_7. ISBN  978-3-030-21752-5.