Každý vývojář aplikací je zodpovědný za ochranu svých uživatelů, má však jen malou kontrolu nad tím, jaký další software si uživatel do svého zařízení nainstaluje. Uživatelé by měli mít možnost instalovat na svá zařízení jakékoli aplikace, které chtějí (včetně sideloadingu), některé z nich však mohou být škodlivé a provádět aktivity, jako je tajné nahrávání obrazovky. Z tohoto důvodu Google dává vývojářům k dispozici nový nástroj, jenž nutí uživatele zavřít potenciálně rizikové aplikace dříve, než mohou ukrást jakákoli data.
Nový nástroj s názvem App access risk (riziko přístupu k aplikaci) je poskytován jako součást API Google Play Integrity. Jde o systém, který vývojářům pomáhá zkontrolovat, že interakce a požadavky na server pocházejí z jejich skutečné binární aplikace běžící na originálním zařízení s Androidem. Systém analyzuje aplikaci, která přistupuje k API, i samotný operační systém, aby hledal známky neoprávněné manipulace. Aplikace, které volají API, obdrží verdikt o integritě, který jim řekne, zda binární soubor aplikace a softwarové prostředí, ve kterém běží, jsou „pravé“, tj. shodují se s verzemi, které Google zná.
Fotogalerie
Pomocí tohoto nového nástroje mohou vývojáři určit, zda na zařízení uživatele běží další aplikace, které by mohly být potenciálně rizikové. Patří mezi ně aplikace, které mohou nahrávat obrazovku, a ty, které mohou ovládat zařízení. Malware často zneužívá API Androidu pro nahrávání obrazovky a ovládání přístupnosti, a proto vývojáři mohou chtít hledat aktivní aplikace, které mají tato oprávnění.
Mohlo by vás zajímat
Z důvodu ochrany osobních údajů nedostanou vývojáři, kteří tento nástroj použijí, žádné identifikátory uživatele ani zařízení, stejně jako žádné informace o aplikacích, které obdrží kladný verdikt o integritě. Jinými slovy je vývojářům řečeno jen to, že jsou spuštěny některé aplikace, které mohou být rizikové, ale ne, co jsou tyto aplikace zač.
Google nástroj App access risk představil na své letošní vývojářské konferenci I/O, konané v květnu, od kteréžto doby se nachází ve veřejné betaverzi. V současnosti jej používají společnosti jako NEWBANK, Revolut, Mercado Libre nebo PhonePe.
