Co kryje się za tymi uprawnieniami Gmail / GTalk?

10

Właśnie natknąłem się na niektóre uprawnienia, które na pierwszy rzut oka brzmią wyraźnie (zauważyłem je już dawno temu, po prostu postanowiłem teraz kopać głębiej). Myśląc o możliwych implikacjach, naprawdę chciałbym wiedzieć, do jakich funkcji / danych dają dostęp, ponieważ może to być bardzo osobiste / wrażliwe:

  • com.google.android.gm.permission.READ_GMAIL: często podawanym powodem jest „dostęp do załączników” (takich jak pliki PDF otwierane za pomocą czytnika PDF). Ale czy to wszystko? A może aplikacja wyposażona w to uprawnienie może odczytać całą pocztę?
  • com.google.android.gm.permission.WRITE_GMAIL: czy aplikacja z tym uprawnieniem może pisać i wysyłać wiadomości e-mail w moim imieniu? A może nawet usunąć istniejące wiadomości e-mail (w tym „wysłane i wysłane”, aby ukryć ich działania)?
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: jedna aplikacja opisuje swoje użycie jako „czytaj etykiety Gmaila i licznik nieprzeczytanych”. Inny pisze: „Używany do aktualizacji liczby nieprzeczytanych wiadomości e-mail na ekranie blokady. Treść wiadomości e-mail nie jest wysyłana na nasze serwery”. Co sugeruje, że tego uprawnienia można użyć do uzyskania dostępu do całej zawartości poczty. I inne treści?
    W niektórych kodu źródłowego znalazłem komentarz wymaganego pozwolenia, aby uzyskać dostępandroid.content.ContentProvider , co sugeruje wiele treści uzyskiwanie dostępu w ten sposób, jeśli oznacza to THE dostawcy treści , w tym kontaktów i kalendarzy. Nie będąc programistą dla Androida, nie mogę tak naprawdę powiedzieć bez uprzedniego powiadomienia.
  • google.android.gtalkservice.permission.GTALK_SERVICE: Tak proszę?

„Googlowałem” je wszystkie (powyższe jest już wynikiem moich badań). I oczywiście zacząłem od moich ulubionych źródeł, jeśli chodzi o uprawnienia:

Ale powyższe to wszystko, co mogłem wymyślić. Czy ktoś może rzucić na nie trochę więcej światła? Z perspektywy użytkownika, do czego można uzyskać dostęp za pomocą tych uprawnień i jakie są konsekwencje dla prywatności? Oczywiście mile widziane byłoby zagranie w „dobrego gliniarza / złego gliniarza” :)

Izzy
źródło
1
Czy widziałeś uprawnienia usług Google Play? „Dodaj dodatkowe uprawnienia w dowolnym momencie”. Nie potrafię odpowiedzieć na pytanie, dlaczego tam są i jak to się stało, ale anegdotycznie Google wydaje się ostatnio dodawać uprawnienia do wszystkich gApps. Może to być ujednolicenie usług ramowych / gier / poczty / rozmowy / plus i tak dalej. Ale to jest bardzo dziwne i bardzo niepokojące. Powiedziano mi nieoficjalnie, że Chrome ma więcej kodu do personalizacji, logowania itp. Niż faktyczne przeglądanie Internetu. W ogóle nie wiem, czy to prawda. Z pewnością nastąpiła zmiana „wszystkich uprawnień!” ostatnio.
RossC
Czy możesz podać trochę więcej informacji o tym, gdzie widzisz te uprawnienia? Mógłbym dla ciebie trochę wykopać, ale potrzebuję przynajmniej pełnej nazwy każdego pozwolenia, aby zacząć (w tym android.permission.lub cokolwiek na początku). Pamiętaj, że każda aplikacja może definiować nowe uprawnienia, aby kontrolować sposób, w jaki inne aplikacje używają funkcji tej aplikacji.
Dan Hulme
1
@RossC Tak, zgadza się. Ale powyższe 4 są już od jakiegoś czasu - więc nie pytam o „najnowsze fantazje”. Oferowane przez same Google Apps (patrz moja edycja), nie są wymienione w manifestach AOSP; a GApps jest zastrzeżonym kodem, nie ma wiele do zbadania. // Podzielam twoją opinię o „niepokojącym” (te dzwony stoją za moim pytaniem). I chociaż twój przykład Chrome wygląda na „przesadzony”, całkowicie go kupuję ...
Izzy
Nic dziwnego, że Chrome zawiera więcej funkcji bocznych niż przeglądanie. Większość kodu do renderowania stron znajduje się w WebKit (teraz Blink) i V8, a główne okno przeglądania jest w zasadzie takie samo jak w projekcie Chromium.
Lie Ryan,

Odpowiedzi:

4

Ponad rok później i tutaj nie ma odpowiedzi. Sama przeprowadziłam badania - i choć nie znaleziono zbyt wiele, podzielę się tym, co do tej pory:

Izzy
źródło
2
Świetna aktualizacja. To niesamowite, jak mało jest zrozumiałej dokumentacji dotyczącej tego, jak dane wszystkich użytkowników są wykorzystywane przez różne aplikacje.
RockPaperLizard,
3
@RockPaperLizard zawsze zastanawiam się: skąd deweloperzy wiedzą, jakiej permu potrzebują, bez dokumentacji? Jeśli chodzi o użytkowników, jedyna w połowie szanowana lista (nie mówiąc o kompletności, to niemożliwe) to moja własna - co było ciężką pracą, aby ją skonfigurować! Dziękuję za miłą opinię, naprawdę to doceniam!
Izzy