web-dev-qa-db-ja.com

Androidアプリ(Linkedinなど))の多くが無関係な権限を多く必要とするのはなぜですか?

LinkedinアプリをAndroid電話にインストールしたかったのですが、private dataおよびカレンダーデータ

おそらく単純なWebビューとして実装されているLinkedinのようなアプリケーションが、そのような賢明なデータにアクセスする必要があるのはなぜですか?これをスパイウェアと見なすことはできますか?

27
Adam Arold

@Stolasは、アプリケーションが何をするかを確認する唯一の方法がそれをリバースエンジニアリングしてそのコードを検査することであることをすでに説明しており、@ RoryAlsopは、そのようなアクセス許可がアプリケーションアーキテクチャの観点から必要とされる理由をすでに説明しています。でも、もう一つ付け加えたいことがあります。

ここで心配することはあまりないと思います。どうして? LinkedInはかなり大きなプレーヤーであり、そのため、他のすべての大企業と同様に、世間の目が絶えず精査されています。彼らが上手くいかず、TOSで同意しなかったデータにアクセスしようとしたり、その他の方法で悪用したりした場合、それらは大きな問題に対処しなければならず、評判を落としてリスクを大幅に失う可能性があります。信頼性は、おそらくそれが公の知識になるとすれば、法的手続きとそれに伴う経済的損失の対象になる可能性さえあります。

ご覧のとおり、これらのアプリは地下室に保管されている厳しく管理された少数の開発者によって開発されたものではなく、残りの開示情報について徹底的に洗脳されて初めて昼光へのアクセスを許可しました。私はここでは少し皮肉ですが、絶え間ないパラノイアの下で生活することは、数行に圧縮された私の意見よりも、精神的健康にさらに害を与えると信じています。とにかく、LinkedIn(およびこれがソーシャルネットワーキングの分野で他のあらゆる大手企業に当てはまる)が、エンドユーザーの同意(またはその他のドキュメント)に明確に記載されていない方法で個人情報を悪用していた場合、署名時に同意しました彼らのサービスやソフトウェアのインストールのために、ニュースでそれを読んでいる可能性は非常に高く、LinkedInはもう存在しません。

  • 開発者の1人は罪悪感に苦しみ、笛を吹いてプレッシャーを和らげ、うまくいけばよく眠れるでしょう。または、
  • 独立した研究者は、LinkedInが公開している署名済みインストールパッケージからリバースエンジニアリングしたコードの興味深い内部の仕組みを見つけます。または、
  • スリープレスネットワーキングの専門家( script kiddies と混同しないでください)は、ダウンロードしたアプリが担当していた、彼が設定したテストクライアントとLinkedInサーバーの間で交換されるそのような指標となるネットワークパケットを見つけます。または、
  • iTセキュリティの専門家は、企業が [〜#〜] byod [〜#〜] ポリシーを使用して直面する可能性のある脅威を評価するよう求められます。脆弱性の評価には、最も一般的ないくつかのAndroidデバイスソフトウェアが含まれます。また、前述のLinkedIn Androidアプリは、テストが最初に実行されるものの中で最も可能性が高いでしょう。 。

誰が最初にそれを発見するかに関係なく、LinkedInは脅迫されて個人的に解決する(それでも最終的には漏洩する可能性があります)か、公衆の目の前で身を守る必要があります。どちらも企業にコストがかかりますが、少なからずありがたくありません。そして、あなたの個人データを違法に利用する代わりの方法ははるかに安価なので、それが彼らの仕事です。彼らはコードをあらゆる種類の規制への準拠について徹底的にテストし、インストールパッケージの改ざんを防止する証明書で署名し、エンドユーザーにもそれを表示できることを誇りに思っています。残りは、あなた(あなたが望む誰にでもあなたの個人情報を開示するあなたの自由意志)とLinkedIn(それを喜んでそれを利益に変えるもの)の間にあります。これは、あなたがそのようなソーシャルネットワーキングsymbiosisをどれだけ煩わしく感じるか、そしてあなたがそれを呼び出すべきかspyware

22
TildalWave

ソースコードをリバースエンジニアリング( [〜#〜] rce [〜#〜] )することによってのみ、確実に知ることができます。しかし、LinkedInにカレンダーアプリが組み込まれていて、Googleカレンダーシステムをバックエンドとして使用していることを思い出します。リバースエンジニアリングに関する質問については、 RE Stack Exchange を参照してください。

そして、すべてのソーシャルネットワークがスパイウェアであるという意味で、そのスパイウェア。

13
Stolas

LinkedInには、連絡先リストとカレンダーにリンクする特定の機能があります。これらはアプリケーションの一部です。これらの権限がないと機能しません。

少なくとも、彼らはアプリケーションが何をするかについて率直に言っていますが、特定の機能を選択する機能があり、カレンダー機能が必要ない場合は、そのアクセスを必要としないバージョンをインストールするだけでいいでしょう。

アプリに署名する方法は、おそらく、これには個別のアプリをインストールする必要があり、複雑さを増すだけでなく、サプライヤーへの価値を低下させることを意味します。

10
Rory Alsop