Applikationsbehörigheter

Behörigheter är ett sätt att kontrollera och reglera åtkomst till specifika system- och enhetsnivåfunktioner med programvara . Typiskt sett täcker typer av behörigheter funktioner som kan ha för integritet , såsom möjligheten att komma åt en enhets maskinvarufunktioner (inklusive kameran och mikrofonen ), och personliga data (som enhetslagring, kontaktlistan och användarens nuvarande geografiska plats) ). Behörigheter deklareras vanligtvis i ett programs manifest , och vissa behörigheter måste ges specifikt vid körning av användaren – som kan återkalla behörigheten när som helst.

Behörighetssystem är vanliga på mobila operativsystem , där behörigheter som krävs av specifika appar måste avslöjas via plattformens appbutik .

Mobil enheter

På mobila operativsystem för smartphones och surfplattor reglerar typiska typer av behörigheter:

• Tillgång till lagring och personlig information, såsom kontakter , kalendermöten, etc.
• Platsspårning .
• Tillgång till enhetens interna kamera och/eller mikrofon .
• Tillgång till biometriska sensorer, inklusive fingeravtrycksläsare och andra hälsosensorer.
• tillgång till internet .
• Åtkomst till kommunikationsgränssnitt (inklusive deras maskinvaruidentifierare och signalstyrka där tillämpligt, och begäranden om att aktivera dem), som Bluetooth , Wi-Fi , Near-field Communication (NFC) och andra.
• Ringa och ta emot telefonsamtal .
• Skicka och läsa textmeddelanden
• Möjligheten att utföra köp i appen .
• Möjligheten att "överlägga" sig själva i andra appar.
• Installera, ta bort och på annat sätt hantera applikationer.
• Autentiseringstokens (dvs. OAuth- en) för webbtjänster lagrade i systemlagring för delning mellan appar.

Före Android 6.0 "Marshmallow" beviljades behörigheter automatiskt till appar under körning, och de presenterades vid installation i Google Play Butik . Sedan Marshmallow kräver vissa behörigheter nu att appen begär tillstånd vid körning av användaren. Dessa behörigheter kan också återkallas när som helst via Androids inställningsmeny. Användning av behörigheter på Android missbrukas ibland av apputvecklare för att samla in personlig information och leverera reklam; i synnerhet appar för att använda en telefons kamerablixt som ficklampa (som har blivit till stor del överflödiga på grund av integrationen av sådan funktionalitet på systemnivå på senare versioner av Android) har varit kända för att kräva en stor mängd onödiga behörigheter utöver vad som är faktiskt behövs för den angivna funktionen.

iOS ställer ett liknande krav för att tillstånd ska beviljas vid körning, med särskilda kontroller som erbjuds för att aktivera Bluetooth, Wi-Fi och platsspårning.

WebPermissions

WebPermissions är ett behörighetssystem för webbläsare . När en webbapplikation behöver vissa data bakom en behörighet måste den begära det först. När den gör det ser en användare ett fönster som ber honom att göra ett val. Valet är ihågkommet, men kan rensas på sistone.

För närvarande kontrolleras följande resurser:

• geolokalisering
• skrivbordsnotifikationer
• servicearbetare
• sensorer
  • ljudinsamlingsenheter, som ljudkort , och deras modellnamn och egenskaper
  • videoinspelningsenheter, som kameror , och deras identifierare och egenskaper

Analys

Den behörighetsbaserade åtkomstkontrollmodellen tilldelar åtkomstbehörigheter för vissa dataobjekt till applikationen. Detta är en härledning av modellen för diskretionär åtkomstkontroll. Åtkomstbehörigheterna ges vanligtvis i samband med en specifik användare på en specifik enhet. Behörigheter beviljas permanent med få automatiska begränsningar.

I vissa fall implementeras behörigheter i "allt-eller-inget"-metoden: en användare måste antingen ge alla nödvändiga behörigheter för att komma åt programmet eller så kan användaren inte komma åt programmet. Det förblir intransparent för användaren när behörigheten används av ett program eller applikation för att komma åt data som skyddas av behörighetskontrollmekanismen. Även om en användare kan återkalla en behörighet kan appen utpressa en användare genom att vägra att fungera, till exempel genom att bara krascha eller be användaren att ge tillståndet igen för att komma åt applikationen.

Tillståndsmekanismen har fått stor kritik av forskare av flera skäl, inklusive;

• Intransparens i utvinning och övervakning av personuppgifter, inklusive skapandet av en falsk känsla av säkerhet;
• Slutanvändares trötthet på mikrohantering av åtkomstbehörigheter leder till ett fatalistiskt accepterande av övervakning och intransparens;
• Massiv datautvinning och personlig övervakning utförs när tillstånden har beviljats.

Det finns några lösningar, som XPprivacy, som istället för att ge åtkomst till den begärda informationen istället för att kasta ett undantag och krascha en app som returnerar desinformation för att få en app att fungera som om tillståndet var beviljat. Mockdroid är ett annat exempel på detta tillvägagångssätt. Ytterligare insynsmetoder inkluderar longitudinell beteendeprofilering och sekretessanalys med flera källor av appdataåtkomst.