Załóżmy, że chcę uruchomić program, który żąda zbyt wielu uprawnień. Na przykład nagrywaj z mikrofonu lub czytaj IMEI mojego telefonu. Jednak nie ma praktycznego wyjaśnienia, dlaczego nagrywanie z numeru mikrofonu lub numeru IMEI jest potrzebne dla tej konkretnej aplikacji, z wyjątkiem eksploracji danych.
Chcę wypróbować tę aplikację, ale ogranicz jej uprawnienia. Na przykład, jeśli czyta IMEI, powinien otrzymać losowy IMEI (ale za każdym razem taki sam). Jeśli spróbuje odczytać mikrofon, powinno się uciszyć.
Kilka innych interesujących uprawnień:
- Dostęp do odczytu / zapisu książki telefonicznej - zwraca zero kontaktów, udawaj, że zapis jest w porządku, ale w rzeczywistości nic nie rób.
- Wyślij SMS - udawaj, że SMS jest wysyłany, ale nic nie rób.
- Uzyskaj listę widocznych sieci Wi-Fi - zwróć zero sieci.
Oczywiście narzędzie powinno wymagać zrootowanego telefonu. Czy są jakieś takie narzędzia?
security
permissions
malware
privacy
sandboxing
Denis Nikolaenko
źródło
źródło
Odpowiedzi:
XPrivacyLua to moduł środowiska Xposed, który robi dokładnie to, czego potrzebujesz. Jest darmowy i open source. Działa na zrootowanych urządzeniach. Jest następcą XPrivacy.
Zainstaluj Xposed stąd: https://forum.xda-developers.com/showthread.php?t=3034811
Następnie możesz pobrać moduł XPrivacyLua z repozytorium Xposed poprzez aplikację Xposed Manager lub ręcznie tutaj:
https://repo.xposed.info/module/eu.faircode.xlua
Źródło:
https://github.com/M66B/XPrivacyLua
Jeśli używasz Androida 5 lub starszego, możesz użyć starszego modułu XPrivacy.
źródło
Whisper Systems wyszedł z niestandardową pamięcią ROM, która ma dokładnie tę funkcję: http://www.whispersys.com/permissions.html . Jak wspomina DarthNoodles, należy to zrobić na poziomie systemowym, a nie na poziomie aplikacji, tak jak to jest zaimplementowane w WhisperCore. Obecna wersja nie jest w stanie zablokować wszystkich uprawnień dostępnych na Androidzie, ale pracują nad obsługą większej ich liczby.
źródło
CyanogenMod 7.1 ma dokładnie tę funkcję , ale bez sfałszowania danych, zawodzi tylko, jeśli aplikacja uzyskuje dostęp do interfejsu API. Propozycja sfałszowania IMEI została odrzucona. Fałszywe inne dane, takie jak kontakty, są obecnie przedmiotem dyskusji.
źródło
Nie jest to absolutne rozwiązanie twojego problemu, ale na rynku Androida istnieje aplikacja, która zaspokoi Twoje potrzeby. Koniecznie wymaga także lepszej wiedzy na temat uprawnień, a także zrootowanego urządzenia.
Uprawnienia Odmowa to aplikacja, która pozwala skutecznie kontrolować uprawnienia aplikacji instalowanych w telefonie, za pośrednictwem rynku lub innego źródła. Należy również pamiętać, że odmowa aplikacji, o którą prosi, może spowodować wymuszenie zamknięcia aplikacji. (stąd wymaga posiadania większej wiedzy na temat korzystania z niego)
Uwaga: Ta aplikacja wymaga dostępu do katalogu głównego. Ta aplikacja nie działa na wszystkich urządzeniach.
źródło
To nie jest aplikacja Sandbox, ale być może jest również dla ciebie interesująca, jeśli jeszcze o niej nie słyszałeś.
Niektórzy naukowcy rozpoczynają projekt Taintdroid . Monitory prywatności w czasie rzeczywistym dla Androida
źródło
MockDroid to kolejne oprogramowanie akademickie z możliwością fałszowania danych.
źródło
Istnieje doskonałe narzędzie PDroid . Jest to zarówno aplikacja, jak i zestaw poprawek ROM, które umożliwiają przechwytywanie i fałszowanie wniosków o pozwolenie. Oto łatki do widelca ROM PDroid Jellybean
źródło
To logiczne rozwiązanie potencjalnego problemu i mojego długiego podrażnienia.
Należy jednak pamiętać, że wszelkie rozwiązania dostępne dla aplikacji zabezpieczającej będą również dostępne dla aplikacji szkodliwego oprogramowania. Jeśli aplikacja zabezpieczająca mogłaby blokować dostęp do sieci, wówczas złośliwe oprogramowanie mogłoby również ją zablokować, uniemożliwiając na przykład aktualizowanie plików danych przez aplikację zabezpieczającą.
Należy to zrobić na poziomie systemu, a nie jako inną aplikację.
Zobacz mój post tutaj dla moich przemyśleń.
źródło
LBE Privacy Guard wydaje się być bardzo obiecującym rozwiązaniem z interaktywnymi funkcjami blokującymi lub umożliwiającymi aktywność aplikacji w locie.
źródło
Przetłumaczona wersja chińskiej wersji LBE jest dostępna dla programistów XDA i działa bardzo dobrze na Jelly Bean. Najwyraźniej chińska wersja jest wciąż aktywnie rozwijana.
http://forum.xda-developers.com/showthread.php?t=1422479
źródło
Trwają badania na ten temat. Dla niektórych interfejsów API wrażliwych na prywatność wdrożono jeszcze nie wydany dowód koncepcji, dokładnie tak, jak zaproponowałem. Menedżer ds. Prywatności nazywa się TISSA , skrót od oswajania aplikacji na smartfony kradnące informacje.
źródło
Istnieją aplikacje blokujące prywatność (płatne) i Inspektora prywatności (bezpłatne). Program Privacy Blocker wykonuje statyczną analizę aplikacji dla wrażliwych wywołań API i przepisuje te wywołania na odcinki zwracające fałszywe dane. W rezultacie jest generowany i instalowany nowy plik .apk z przepisaną aplikacją. Inspektor prywatności to aplikacja, która zgłasza tylko użycie poufnych połączeń API.
źródło
Marshmallow (Android 6) ma nowy model uprawnień . Aplikacje atakujące Marshmallow mogą być teraz ograniczone do mniejszej liczby uprawnień w czasie wykonywania, a aplikacje te powinny się z wdziękiem zawieść, zamiast modelu uprawnień typu „wszystko albo nic” w poprzednich wersjach Androida. W Marshmallow jest to funkcja standardowego systemu operacyjnego i nie wymaga rootowania ani dodatkowych aplikacji.
źródło
Jestem pewien, że narzędzie, którego szukasz, jeszcze nie istnieje. Ale twój pomysł jest świetny. Ale tylko kilka rzeczy;
ofc; aplikacja może swobodnie czytać i pisać własny katalog aplikacji
dając fałszywy dostęp do odczytu: dla każdego możliwego odczytu (i jest wiele aplikacji, które można spróbować odczytać) powinna zostać wygenerowana domyślna odpowiedź; dużo pracy, ale wykonalne
jednak; udzielenie fałszywego dostępu do zapisu jest o wiele trudniejsze; co jeśli używa karty SD do przechowywania dużych plików tymczasowych; jak bitmapy. Na nieukończonym telefonie; jedyne miejsce, w którym aplikacja może pisać, to karta SD; i korzystanie z dostawcy treści (dla takich rzeczy jak kontakty i kalendarz). A aplikacja nie oczekuje, że zapisywanie danych zakończy się niepowodzeniem; więc aplikacja może ulec awarii.
Dobrze, że najgorsze, co może się zdarzyć, to awaria aplikacji.
źródło