Что скрывается за этими разрешениями Gmail / GTalk?

10

Я просто наткнулся на некоторые разрешения, которые кажутся ясными с первого взгляда (заметил их уже довольно давно, просто решил копать глубже прямо сейчас). Размышляя о возможных последствиях, мне бы очень хотелось узнать, к каким функциям / данным они предоставляют доступ, поскольку это может стать весьма личным / чувствительным:

  • com.google.android.gm.permission.READ_GMAIL: часто указывается причина «доступа к вложениям» (например, файлы PDF, которые нужно открыть с помощью программы чтения PDF). Но это все? Или приложение с таким разрешением может читать всю почту?
  • com.google.android.gm.permission.WRITE_GMAIL: может ли приложение с таким разрешением писать и отправлять письма от моего имени? Или даже удалить существующие письма (в том числе «письменные и отправленные», чтобы скрыть свои действия)?
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: одно приложение описывает его использование как «читать ярлыки Gmail и получать непрочитанное количество». Другой пишет: «Используется для обновления счетчика непрочитанных сообщений на вашем экране блокировки. Содержимое электронной почты не отправляется на наши серверы». Что предполагает, что это разрешение может быть использовано для доступа ко всему содержимому почты. И другое содержимое?
    В каком - то исходном коде , который я нашел комментарий требуется разрешение на доступandroid.content.ContentProvider , который предполагает много контента , получить доступ к такому способу , если это означает ОФИЦИАЛЬНЫЙ контент - провайдер , в том числе контактов и календарей. Не будучи разработчиком Android, я не могу сказать, не будучи первым.
  • google.android.gtalkservice.permission.GTALK_SERVICE: Да, пожалуйста?

Я "погуглил" их всех (вышеизложенное уже является результатом моего исследования). И, конечно же, я начал с моих любимых источников, когда речь заходит о разрешениях:

Но вышесказанное - это все, что я мог придумать. Может ли кто-нибудь пролить свет на это? С точки зрения пользователя, к чему можно получить доступ с этими разрешениями и каковы последствия для конфиденциальности? Игра «хороший полицейский / плохой полицейский» была бы признательна, естественно :)

Иззи
источник
1
Вы видели разрешения служб Google Play? «Добавить дополнительные разрешения в любое время.» Я не могу ответить, почему они там есть, и как это произошло, но, похоже, Google в последнее время добавляет разрешения на все приложения gApps. Это может быть объединение сервисов frameweork / games / mail / talk / plus и так далее. Но это очень странно и очень тревожно. Неофициально мне сообщили, что в Chrome больше кода для персонализации, ведения журналов и т. Д., Чем в реальном интернет-браузере. Я вообще не знаю, правда ли это. Конечно, есть сдвиг во всех разрешениях! за последнее время.
RossC
Не могли бы вы дать немного больше информации о том, где вы видите эти разрешения? Я мог бы немного покопаться для вас, но для начала мне понадобится как минимум полное имя каждого разрешения (включая android.permission.или что-то еще в начале). Помните, что любое приложение может определять новые разрешения для управления тем, как другие приложения используют функции этого приложения.
Дан Халм
1
@RossC Да, это правильно. Но 4 выше уже есть в течение некоторого времени - поэтому я не спрашиваю о «последних модных фантазиях». Предлагаемые самими Службами Google (см. Мое редактирование), они не упоминаются в манифестах AOSP; А GApps являются проприетарным кодом, и искать там не так уж много. // Я разделяю ваше мнение о «тревоге» (эти колокола - одна из причин моего вопроса). И хотя ваш пример Chrome выглядит «преувеличенным», я полностью его покупаю ...
Иззи
Неудивительно, что Chrome содержит больше кода на сторонних функциях, чем просмотр. Большая часть кода для рендеринга страниц находится в WebKit (теперь Blink) и V8, и основное окно просмотра в основном такое же, как и в проекте Chromium.
Ли Райан

Ответы:

4

Прошло больше года, а ответа здесь нет. Я провел некоторые исследования сам - и хотя там было не так много всего, я поделюсь тем, что у меня получилось:

  • com.google.android.gm.permission.READ_GMAIL: Хорошее предположение, что это предназначается для содержимого почты. Уровень защиты переключился с «опасного» на «сигнатурный» во время выпуска Gingerbread (с Gmail 2.3.5), см. Android Census - поэтому он недоступен сторонним приложениям (больше) - и, следовательно, не имеет значения, если мы не говорить о системных приложениях.
  • com.google.android.gm.permission.WRITE_GMAIL: Позволяет приложению изменять ваши электронные письма в Google Mail. Это включает в себя отправку и удаление.
    Назначенный уровень защиты различен для разных устройств (опасный / сигнатурный), поэтому нет общего мнения о том, влияет ли он на несистемные приложения.
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: Это в первую очередь для доступа к информации о почте в Gmail. Разработчики могут использовать этого поставщика контента для отображения информации метки для пользователя.
    Уровень защиты «опасен», поэтому, если он не изменился, он определенно влияет на пользовательские приложения.
  • google.android.gtalkservice.permission.GTALK_SERVICEЯ не смог найти никакой документации по этому разрешению, которая связана с Google Talk соотв. Google Hangouts .
    Назначенный уровень защиты, кажется, различается для разных устройств, поэтому опять нет четкого правила.
Иззи
источник
2
Отличное обновление. Удивительно, как мало понятной документации о том, как данные каждого используются различными приложениями.
RockPaperLizard
3
@RockPaperLizard - вот что мне всегда интересно: как разработчики узнают, какая им нужна, без документации? Что касается пользователей, то единственный полуприличный респектабельный список (не говоря уже о полных, это невозможно) - мой собственный, что было тяжелой работой по настройке! Так что спасибо за хороший отзыв, очень ценю это!
Иззи