Các nhà phát triển sẽ có một tùy chọn mới cho các ứng dụng Android để chỉ theo dõi vị trí khi sử dụng.
Bất cứ ai sử dụng ứng dụng di động đều biết các tính năng sử dụng dữ liệu vị trí có thể tiện lợi như thế nào, từ nhận chỉ đường từng chặng và tìm nhà hàng gần đó đến theo dõi tập thể dục và tích hợp thời tiết. Nhưng những trải nghiệm trên nền tảng điện thoại di động phong phú này, các nhà phát triển ứng dụng gọi chúng – có thể là con dao hai lưỡi. Rất thường xuyên, các ứng dụng di động có lỗi làm rò rỉ dữ liệu vị trí và có thể gây lo ngại về quyền riêng tư hoặc thậm chí an toàn vật lý – vì vậy, cách tốt nhất là hạn chế khi các ứng dụng đó thu thập thông tin đó.
Tuy nhiên, trong Android, người dùng chỉ được cung cấp hai lựa chọn: Để ứng dụng theo dõi vị trí của họ mọi lúc hoặc tắt hoàn toàn theo dõi vị trí.
Bộ phận Android của Google đang thực hiện một bước để giải quyết vấn đề này. Các nhà phát triển Android sẽ sớm có thể cung cấp cho người dùng lựa chọn ba tùy chọn khi nào sẽ cung cấp vị trí cho ứng dụng. Những lựa chọn đó là tất cả thời gian hoặc không bao giờ. Bây giờ họ có lựa chọn thứ ba – trong khi ứng dụng đang được sử dụng.
Trước đây, một người dùng có một điều khiển duy nhất cho phép hoặc từ chối quyền truy cập ứng dụng vào vị trí thiết bị, bao gồm cả việc sử dụng vị trí của ứng dụng cả khi nó đang sử dụng và trong khi đó, thì Chai Chai, giám đốc sản phẩm của Android, nói. trong một bài đăng tuần trước. Bắt đầu trong Android Q, người dùng có một tùy chọn mới để cấp cho ứng dụng quyền truy cập vào vị trí chỉ khi ứng dụng đang được sử dụng; nói cách khác, khi ứng dụng ở phía trước.
Vì vậy, một ứng dụng giống như Yelp chỉ có thể được phép sử dụng vị trí của người dùng khi họ mở nó để tìm kiếm một nhà hàng gần đó; nhưng một ứng dụng tự động theo dõi số dặm mà ai đó lái cho mục đích thuế có thể được bật đèn xanh để thu thập dữ liệu nền. Người dùng sẽ thấy các tùy chọn mới của họ trong cùng hộp thoại quyền đã được trình bày khi ứng dụng yêu cầu quyền truy cập vào vị trí.
Thay đổi mang đến cho Android phù hợp với các tùy chọn có sẵn với ứng dụng Apple iOS.
Các nhà phát triển viết cho Android Q sẽ cần chủ động thêm thông tin cấp phép mới nếu ứng dụng của họ có tính năng yêu cầu tất cả thời gian cho phép trong Android 9 trở xuống, quyền ACCESS_BACKGROUND_LOCATION sẽ được hệ thống tự động thêm vào.
Chai cũng đưa ra lời khuyên cho các nhà phát triển về các thực tiễn tốt nhất xung quanh quyền riêng tư: Cân nhắc việc xin phép người dùng theo ngữ cảnh trong bối cảnh, khi người dùng đang bật hoặc tương tác với một tính năng yêu cầu nó, chẳng hạn như khi họ đang tìm kiếm thứ gì đó gần đó.
Ngoài ra, cô đã lặp lại một nguyên lý được đưa ra bởi Quy định dữ liệu bảo vệ chung (GDPR) của EU: Chỉ yêu cầu mức độ truy cập cần thiết cho tính năng đó. Nói cách khác, đừng yêu cầu quyền ‘mọi lúc’ nếu tính năng này chỉ yêu cầu quyền ‘trong khi sử dụng’.
Trớ trêu thay, mùa hè năm ngoái, một báo cáo của Associated Press đã tuyên bố rằng các dịch vụ của Google phổ biến trên cả điện thoại Android và iOS – bao gồm Google Maps – lưu trữ dữ liệu vị trí thông qua tính năng Lịch sử vị trí, ngay cả khi người dùng thiết bị chọn không tham gia. Google đã bác bỏ vấn đề này, lưu ý rằng thực sự có một cách để từ chối – và điều đó đã dẫn đến một vụ kiện và một cuộc thảo luận về giá trị của sự rõ ràng khi nói đến việc cung cấp các biện pháp kiểm soát người dùng và đạo đức của việc nhúng các mẫu tối, hoặc lựa chọn thiết kế khai thác, vào giao diện di động.
Jesse Nạn nhân, nhà tư vấn bảo mật phần mềm tại Synopsys, nói trong một email gửi tới Threatpost vào thời điểm đó, rất khó hiểu và sai lệch khi có một công tắc bật tắt không hoàn toàn hoạt động. Khi Google xây dựng một bảng điều khiển vào Android và sau đó không tôn trọng điều đó, có khả năng lạm dụng rất cao.
Cổ phần rất cao: Các ứng dụng di động có thể thu thập thông tin vị trí trong nền ngay cả khi ứng dụng không được sử dụng, điều này có thể gây rắc rối nếu dữ liệu đó rơi vào tay kẻ xấu. Ngoài việc mở ra cánh cửa cho các hoạt động quảng cáo nhắm mục tiêu phi đạo đức, nó cũng sẽ cho phép một kẻ thù theo dõi các chuyển động của ai đó và có được một bức tranh rõ ràng về thói quen và thói quen hàng ngày của họ. Điều này có thể được khai thác theo nhiều cách khác nhau, bao gồm sử dụng thông tin để thực hiện các cuộc tấn công lừa đảo và kỹ thuật xã hội thuyết phục hơn, hỗ trợ trinh sát cho vụ trộm hoặc thậm chí gây nguy hiểm cho trẻ em.
Hơn nữa, các lỗ hổng cho phép truy cập dễ dàng hơn vào thông tin vị trí không phải là hiếm.Và thực tế, dữ liệu vị trí xuất hiện nhiều thứ năm trong các cuộc tấn công mạng trên thiết bị di động, theo báo cáo bảo mật di động của Pradeo từ tháng Hai.
Chẳng hạn, vào tháng 1, Ủy ban Châu Âu đã ban hành lệnh thu hồi smartwatch phổ biến dành cho trẻ em, trích dẫn các vấn đề riêng tư của nghiêm trọng có thể cho phép một diễn viên xấu theo dõi hoặc giao tiếp với trẻ em từ xa.
Và vào tháng 11, một lỗ hổng trong hệ điều hành di động Android đã được phát hiện có thể cho phép kẻ tấn công có khoảng cách vật lý với bộ định tuyến WiFi để theo dõi vị trí của người dùng trong phạm vi của bộ định tuyến.
Vấn đề (CVE-2018-9581) cho phép rò rỉ thông tin xuất phát từ giao tiếp giữa các quá trình. Mặc dù các ứng dụng trên Android thường được tách biệt bởi HĐH với nhau và từ chính HĐH, vẫn có các cơ chế chia sẻ thông tin giữa chúng khi cần. Một trong những cơ chế đó là việc sử dụng những gì Android gọi là ý định.
Một ứng dụng hoặc chính hệ điều hành có thể gửi một tin nhắn có ý định của người Viking, được phát trên toàn hệ thống và có thể được các ứng dụng khác lắng nghe. Nếu không có các hạn chế truy cập và quyền thích hợp được đặt xung quanh các ý định này, các ứng dụng độc hại có thể chặn thông tin mà chúng không nên truy cập.