安卓 13侧载 App 权限将被进一步限制
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安卓 13侧载 App 权限将被进一步限制相关的知识,希望对你有一定的参考价值。
参考技术A安卓 13侧载 App 权限将被进一步限制
安卓 13侧载 App 权限将被进一步限制,android 13 Beta 1 更新,到了下半年,我们就能陆续看到第一批更新 Android 13 系统的设备了。安卓 13侧载 App 权限将被进一步限制。
安卓 13侧载 App 权限将被进一步限制1
据 Android Police 报道,Android 的无障碍服务旨在为残障用户提供帮助,但这套工具非常强大,以至于其他应用程序经常使用它来启用引人注目的功能。不幸的是,无障碍服务通常也是恶意软件的门户,以此来控制电话或获取个人数据。在 Android 13 中,谷歌正在进一步打击对无障碍服务的访问,使侧载应用更难获得访问权限。
Android 13 对侧载 App 引入了新的限制,阻止用户授予他们使用无障碍服务的权利。鉴于许多网络钓鱼和恶意软件攻击是通过诱骗用户从应用商店外部安装 APK 来进行的,这可能会使不良行为者更难劫持毫无戒心的用户手机。
不过,谷歌并没有完全阻止侧载应用程序使用无障碍服务。一旦进入对话框,说明相关应用程序的辅助功能服务受到限制,你可以通过“允许受限设置”菜单条目在右上角的应用程序信息屏幕下激活访问权限,因此,如果你是有兴趣使用合法应用程序增强手机的高级用户,仍然可以这样做。
这似乎是一个漏洞,恶意应用程序可以通过指示用户启用受限设置来规避。因此,谷歌仍有可能在稳定的 Android 13 上线之前改变这种行为。
新规则对用户在 Play 商店中也有的应用程序有影响。当我们从 APK Mirror 侧载旧版本的 Sleep as Android 时,它使用辅助功能服务来防止在尝试关闭闹钟时关闭手机,无法启用辅助功能服务,即使将其更新到通过 Play 商店提供的最新版本。
虽然用户仍然可以使用前面描述的解决方法访问 Android 13 Beta 1 中的辅助功能服务,但对于那些在 Play 商店推出之前将应用程序侧载到最新状态的用户来说,这是一个额外的步骤。
还需要注意的是,谷歌只限制侧载应用程序。如果你使用 F-Droid 或亚马逊应用商店等替代应用分发平台,将不会遇到无障碍服务限制,谷歌可能会认为应用商店中的应用至少在一定程度上是经过筛选的。
同时,默认情况下,在 Google Play 商店中分发的应用程序根本无法使用无障碍服务,除非它们是专门为无障碍而创建的。当其他应用程序开发人员可以通过漫长的过程向谷歌证明他们的应用通过无障碍服务得到了极大的增强时,他们仍然可以要求豁免,但一般来说,谷歌强烈反对使用无障碍服务。
事实上,通话记录应用程序是最新感受到这些限制的应用程序,谷歌不再允许它们使用无障碍服务来记录电话通话。
安卓 13侧载 App 权限将被进一步限制2
到了下半年,我们就能陆续看到第一批更新 Android 13 系统的设备了。
距离去年 Android 12 Beta 版发布已经过去接近一年,无论此刻你的手机是否已经收到基于 Android 12 而来的更新推送,Android 13 的更新都已经进入了最新的 Beta 测试阶段,从早先公布的 Android 更新时间线来看,距离进入各种系统功能都趋于稳定的阶段也仅一步之遥。
虽然近两年 Android Beta 测试计划时间表都有较多的提前,但随着时间进入五月,新一年的 Google I/O 照例也即将于 5 月 11 日正式开幕,届时也会公布所有 Android 13 中将会正式加入的重要功能。
但在那之前,我们仍然可以通过现有的 Android 13 Beta 1 更新,先来大致了解到 Android 13 中有哪些值得期待的好料。
应用独立语言设置
这个功能对于 ios 用户来讲肯定不会陌生,但 Android 却是一直到第十三个大版本更新才终于等来。这一功能能让应用独立于系统所设置的语言之外设置另一种显示语言(当然前提仍需要应用本身提供了多语言的支持),这个功能往往会在使用一些语言类应用时相当方便。
在 Android 13 中,在系统设置中的「语言&输入」菜单打开之后,就可以看到新的独立应用语言设置选项。
虽然在最新的 Android 13 Beta 1 中,这个设置选项被暂时隐藏了起来,但预计出现在最终的 Android 13 正式版更新中并不会有太多的问题。
系统主题更进一步
Android 12 之所以被很多人认为是自 Android 5.0 以来改进最大的一次更新,很大程度上要归功于 Google 新引入的 Material You 主题取色系统。简而言之,就是一套可以跟随手机的桌面壁纸更换,来一次性自动更换手机的主题色、图标、桌面小组件,乃至第三方应用内页面设计都能一同被重新加载。
但也正是由于 Android 12 中在主题系统部分大刀阔斧地改进太多,甚至 Android 官方承诺的一些实现效果,最终都未能在 Android 12 正式版中出现,因此也有了「Android 12 分两年更新完」的说法。
事实也确实如此,在 Material You 主题应用实现的部分,一些 Android 12 中已经「PPT 首发」的内容,直到最近的 Android 13 Beta 1 才算是得到了最终的更新:例如下面的 Android 13 媒体卡片新增动画效果。
Material You 取色效果给了更多选择:在 Android 13 Beta 1 中,取色选择从 Android 12 时期的四个选择,直接升级为了壁纸提取颜色 + 基本颜色共计 32 种颜色组合,两种不同的取色算法能从壁纸颜色中分别能生成单色、双色以及三色的可选组合。让主题样式也有了更多可选项。
Material You 图标取色同样是重要的组成部分之一:在开启主题图标选项之后,桌面上适配过的应用图标也都可以跟随手机主题色设置来改变样式,但在 Android 12 阶段,这一功能的适配进度比较缓慢,过去一年之后也仍只有少数第三方 App 针对这一功能进行了适配。
为了解决这一问题,在 Android 13 中引入了新的主题图标 API,应用开发者只需在开发 App 时提供一个单色的应用图标,就能在 Android 13 中应用到动态图标样式功能,大幅降低了开发者适配新功能的开发成本。另外 Google 也已经在与其他 Android 手机厂商合作,将这一功能推向更多 Android 第三方操作系统上。
隐私安全仍是重点
隐私权限控制同样是 Android 12 就已经重点关注的改进方向之一,而且在这一点上原生 Android 直接对系统底层的改动对于其他第三方 Android 系统来讲同样有着重要的启示意义。例如在 Android 12 中首次出现了可以一键全局禁用摄像头/麦克风的控制中心卡片设计。
关掉这些开关之后,禁用摄像头甚至无法使用 Pixel 手机自带的人脸解锁,而禁用麦克风权限则无法通话;而在 Android 13 中,这些针对系统权限的控制收紧的趋势也有更多进一步改进,全局权限选项中还新增了新的地理位置一项,并将相机/麦克风权限一并整合成新的「隐私控制」卡片。
在设置中,Android 13 还将过去散落在各处的隐私相关设置进一步整合,成了新的「隐私信息中心」,供用户直接检查最多过去一周各项权限的使用情况,包括系统应用在内的权限使用都可以在这里看到详细到分钟的权限使用记录。
Android 13 中还引入了独立的照片选择器概念:比如你想在某「小而美」的聊天软件中给朋友分享一组照片,但却又不想授予软件访问你手机中所有照片的权限,这时 Android 13 新加入的照片选择器就可以手动选出你需要分享的照片内容,并仅将你所选中的照片的访问权限授予聊天应用,最大限度降低隐私泄露的风险。
大屏幕体验& 智能家居
在 Android 12 更新发布之后,Android 紧随其后启动了另一个特殊的系统测试计划 —— Android 12L;这一目的在于优化大屏幕/折叠屏的更新被赋予了独立系统代号,甚至在很大程度上成为了一个与早期 Android 13 测试计划并行的开发项目。
在 Android 13 中,针对折叠屏不同场景使用/不同屏幕尺寸的显示模式加入了更多深层的改进,一边在多屏幕切换之间获得更好的显示效果;例如屏幕 90 度展开状态的\'「桌面模式」。
目前 Android 13 中,面向宅家场景中需求经常被提到的智能家居也是新功能加入的重要方向之一,例如 Android 13 Beta 1 中已经加入「锁屏控制智能设备」的选项,这一更新允许适配过的智能家居服务(例如米家、Google Home 等),无需解锁手机,在锁屏状态下即可进行基础的智能家居操作。
从目前现有信息来看,Android 13 中还将加入一个「媒体点击转移」(Media Tap to Transfer)的功能;虽然目前这一功能实际信息相对于其他已经出现的功能来讲还很少,但这会是一个类似苹果 AirDrop、华为分享功能的 Android 原生媒体投射功能,但检测到同一局域网下有平板/笔电等设备正在使用中,或是使用 UWB 近场通信,靠近智能音箱即可将音乐投射到上面播放。
同样属于尚未发布,但已经在相关代码中已经有所提到的,还有 Android 13 中新增的「Hub 模式」可以让多个用户在同一台 Android 13 设备之上共用一套数据,同时还能保留多个用户之间的个人信息。
这一功能明显并非是为了个人使用的平板电脑而准备,但三星也曾在今年的 CES 期间展示过搭载 Android 系统的「智能家居中枢」:本质上其实是一款 Android 系统平板,但除了搭配充电底座之外,也加入了更多针对家居使用场景的软件改进。
这也侧面印证了此前关于 Google 会发布搭载 Android 系统的智能显示屏的传闻,当然这些未必会是与 Android 13 一同出现在五月即将到来的 Google I/O 大会中的内容。但仍然值得期待。
安卓 13侧载 App 权限将被进一步限制3
谷歌将在下个月举行年度开发者大会,届时可能会对Android 13的更新内容做全面的介绍。至于正式版,预计要等到下半年或更晚的时候了。
据了解,Android 13首个Beta版本最主要的新功能,是此前已经出现在Android 13最初两个开发者预览版中就出现的,其中有蓝牙低能量音频,以及新的文件访问权限,用户可以决定应用能够读取相册中的哪些文件。此外,还有一个全新的权限,能够有效过滤垃圾邮件的通知,但认为这一功能在国内用处不大。
Android 13在界面设计风格上和Android 12没有太大区别,但在细节方面做了部分改进,比如音乐通知栏中的进度条,改为动态波浪样式。此外,新版还支持用户编辑剪贴板中的内容,对于常用复制粘贴的人会比较方便,建议国内深度定制系统也学习一下。
此前爆料的MGLRU多页面回收策略,Android 13首个测试版本似乎也没有实装,可能得等到正式版,用户才能体验到“满血”的原生系统。总体来看安卓13更像是12的隐私权限加强版,现在的操作系统都在权限做功课,功能、设计方面已经没有特别明显的改进,开始像iOS那样“挤牙膏”了。
在国内,随着近几年手机厂商对操作系统愈发重视,基于安卓的深度定制系统已经十分完善,从易用性、人性化的角度来看,已经能够迎合绝大部分消费者的需求,就连iOS、谷歌原生的某些新功能都是从国内定制系统中借鉴的。个人隐私方面,MIUI、ColorOS、Magic UI、Origin OS等定制系统也做到了,做的甚至还不差。
认为,近几年大家对系统大版本更新的期待值已经远不如以前,一方面是升级点有限,另一方面则是深度定制系统的崛起,原生系统或许就只剩下大版本更新快,动效流畅而已了。在用国产手机的小伙伴也不用着急,基于Android 13定制的正式版系统估计明年才会陆续推送。
手机加速度计数据可以被随意读取,iOS关不掉权限,安卓这次能限制
行早 发自 凹非寺
量子位 报道 | 公众号 QbitAI
现在App泄露信息已经不是什么新鲜事了,手机存储,应用列表,定位,剪切板……
不过这些都可以通过权限管理关掉。
但是有一样权限请求无法关闭,甚至你的数据被访问了App也不会通知你。
它和被封装在核心运动框架(Core Motion Framework)里的加速度计有关。
近期,一位iOS开发者Tommy Mysk发现并测试了加速度计的数据被读取的情况,在社交媒体上引发热议。
除了加速度计,核心运动框架中还有陀螺仪,气压计等高精度的测量设备。它们的数据可以用于很多应用程序。
而这次,以隐私保护著称的iOS在这个点上似乎疏漏了。
Tommy发现,目前iOS允许任何已安装的应用程序在未经用户明确许可的情况下访问加速度计数据。
核心运动模块大有文章
不过就凭加速度计,能有什么用?
你很难想象,凭借你的加速度数据,配合核心运动模块中的陀螺仪等设备,可以收集到非常精准的信息。
首先,不同的运动状态都会有不同的加速度变化分布。
因此,加速度可以反映出你持握手机的方式,是站是卧,是走路还是骑车,以及计步。
虽然iPhone上的计步器受系统权限保护,但是很多计步算法可以直接访问加速度数据,用来估测你的步数。
其次,当你拿着手机时,加速度计可以检测到身体的轻微振动,这部分数据可以用来检测心率,甚至还能预测心率。
飞利浦和布里斯托大学的研究人员就曾在Arxiv上发表过一篇相关论文,只使用传感器数据,通过算法预测心率。
还有,在公交车或者地铁上无聊怎么办?刷刷社交软件?
也会有泄露风险。
假如同一辆车上的乘客也打开了和你一样的应用,如果这个软件读取加速度数据的话,就能确定你们两个有同样的振动模式,例如起步,左转,刹车。
即使你关闭了定位权限,如果另一个人没有关闭,就可以通过他的位置确定你的位置,在哪一趟公交车或者地铁上。
更可怕的是,加速度计还可以根据扬声器的声波振动逆向还原出你的声音。
浙大网安团队就基于深度学习算法实现了针对手机语音信号的关键字识别和语音重建攻击,成功地从加速计信号中识别并恢复出了大量敏感语音信息。
文章发表在信息安全四大会议之一NDSS上,证实了此类攻击的可行性及其严重性。
总结起来,加速度计能反映的信息几乎涉及方方面面……
App实测
Tommy还实际检测了Facebook等App读取加速度计数据的情况。
把iPhone连接到Xcode上打开控制台后:就一直在读取加速度计数据。
不过,虽然加速度数据的读取无孔不入,但是也有解决办法。
目前App只能在前台访问加速度计数据,iOS会阻止后台应用读取数据。
从前台退出后,读取行为就停止了:
所以用完App后及时清理前台是一个不错的办法。
对于安卓用户来说,安卓系统在Android 12中对加速度计,陀螺仪和地磁场传感器的采样率做出了限制:
虽然没有彻底解决,但是已经能对采集加速度数据还原语音等行为作出限制。
因为人声一般在85Hz以上,而传感器采样率限制为200Hz以下的话,能完整恢复的语音信号会限制在100Hz以下。
这样能采集到的有用信息就比较少了。
而如果应用需要更高的采样频率,则必须声明权限:
不过,针对Tommy小哥提出的这个问题,也有人发表不同的意见。
比如有网友就提出,关键还是准确率如何:
现在“电脑能预测……”这类的文章可太多了,实际上任何信息都能预测点什么东西,通常只比瞎猜好一点点……
另一个高赞评论则表示:
定位和活动监测还是很可信的,但是像泄露心率,还原声音这样的场景不太能说服我,不过能知道有这种事还是挺好的。
你怎么看呢?
参考链接:
[1]https://www.mysk.blog/2021/10/24/accelerometer-ios/
[2]https://dl.acm.org/doi/abs/10.1145/3309074.3309076
[3]https://icsr.zju.edu.cn/news/images/319.html
以上是关于安卓 13侧载 App 权限将被进一步限制的主要内容,如果未能解决你的问题,请参考以下文章
ReactNative0.59版本安卓Realese包无法连网问题
手机加速度计数据可以被随意读取,iOS关不掉权限,安卓这次能限制