C'è un rischio sui dati privati dell'utente quando l'app Android ha il permesso di accedere all'hardware senza accedere ai dati dell'utente?

1

Ho trovato in un articolo pubblicato discorsi in una parte di esso su un algoritmo di gestione delle autorizzazioni e la descrizione contiene questa dichiarazione:

"Se la richiesta proveniente dall'app sta accedendo per l'hardware, imponiamo che l'autorizzazione sia autorizzata, perché l'hardware non può fare alcun danno da solo"

Quindi, voglio capire la situazione se l'app per Android ha accesso solo all'hardware e non ha accesso ai dati dell'utente, è vero che questa app non può arrecare alcun danno alla privacy degli utenti (come il record di Mic / Camera e inviarlo al server remoto?

    
posta Bers 06.07.2017 - 14:55
fonte

1 risposta

1

Tutti gli "accessi hardware" da un'app sono in realtà l'accesso a un'astrazione fornita dai driver di dispositivo e / o dall'HAL. In linea di principio, sembra un'affermazione sicura da fare, specialmente con il primo caso d'uso di seguito. Oltre a ciò, è paranoia. :)

I dati esistenti dell'utente non sono a rischio se l'accesso all'hardware non fornisce indirettamente l'accesso ai dati. ad esempio, l'accesso al microfono / altoparlante può essere considerato ok.

Che cosa succede se l'hardware può accedere indirettamente ai dati, ad esempio, se può accedere all'hardware di rete (ad esempio il wifi), possiamo supporre che stia effettivamente accedendo a un driver che è un'astrazione di alto livello del dispositivo? In tal caso, l'astrazione isola l'app? Cosa succede se l'accesso è alla radio in banda base? Può fare una richiesta di rete (ad esempio, una chiamata internazionale) e inferire le informazioni dell'utente (ad esempio, "il piano dell'utente consente chiamate internazionali" o combinare due accessi - effettuare una richiesta VOLTE - e ottenere informazioni sul saldo prepagato dallo stack LTE?)

L'altro estremo della paranoia riguarda - con l'accesso alla telecamera e al microfono, l'app può dedurre le informazioni dell'utente facendo richieste aggiuntive ai database di identificazione biometrica (esempio zoppo: può Facebook identificare l'utente anche se ha effettuato l'accesso con un altro persona?)

    
risposta data 06.07.2017 - 15:23
fonte

Leggi altre domande sui tag