Google "подозрительно" удалила полезную функцию из Android

Выпущенное на этой неделе обновление Android 4.4.2 для устройств Google Nexus лишилось функции, которая давала пользователям возможность тонкой подстройки привилегий, относительно доступа к системе со стороны установленных приложений. Подобный шаг Google подвергли критике в некоммерческом фонде Electronics Frontier Foundation.


Удаленная функция называется App Ops и впервые она была выпущена в Android 4.3. Она имела интерфейс, через который пользователи могли предоставлять или отзывать те или иные привилегии у приложений, когда работают с ними или устанавливают их. Традиционно Android предоставляет приложению любо все привилегии, которые оно запрашивает, либо не предоставляет их. Тонкая грануляция привилегий, реализованная в App Ops, это именно то, чего многие специалисты и продвинутые пользователи ждали от операционной системы, пишет cybersecurity.ru.

По словам специалистов, многие приложения, в особенности бесплатные, идут в комплекте со множеством рекламных библиотек, которые помогают разработчикам финансировать создание приложения. Очень часто приложения умалчивают о наличии в них дополнительного функционала, который требует наличия доступа к пользовательским данным и системной информации.

На прошлой неделе компания Goldenshores Technologies, разработчик популярных Android-приложений, урегулировала претензии со стороны Федеральной комиссии по торговле США, которая заявляла, что компания собирала данные о местоположении пользователей и обменивалась этими сведениями срекламными агентствами, не уведомляя пользователей. В компании согласились раскрывать, какие именно данные компания раскрывает и запрашивать разрешения на их дистрибуцию.

Хотя App Ops присутствует в Android 4.3, к нему нет прямого доступа у пользователей, он активизируется, когда пользователь начинает работать или инсталлировать стороннее приложение. Однако у пользователей есть возможность скачать сторонние программы, такие как Permission Manager или AppOps Launcher, из Google Play и работать с программой.

В блоге Electronic Frontier Foundation говорится, что App Ops была очень полезной функцией и она была «громадным подспорьем» в деле безопасности данных в Android. Также организация упрекнула Google в «недостаточном энтузиазме» в деле защиты своих пользователей. «Мы провели тесты и можем ответственно заявить, что функции App Ops в Android 4.4.2 уже нет», - говорит Питер Экерсли, директор по технологиям EFF. «Ее исчезновение - это тревожные новости для Android. Тот факт, что пользователи больше не имеют контроля над приложениями, представляет собой большую брешь в модели безопасности Android».

По его словам, EFF связывался с Google с целью получить разъяснения относительно программы и в компании заявили, что все это время App Ops была экспериментальной программой и сейчас работа App Ops может повредить работе некоторых других программ. В EFF говорят, что считают объяснения Google «подозрительными» и полагают, что можно было бы улучшить работу полезной разработки, а не удалять ее из системы.

Отметим, что Google изначально попыталась убрать App Ops из Android 4.4 KitKat, однако сторонние разработчики выявили возможность обхода блокировки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru