Dnia 05.06.2019 Marcin Debowski <a...@I...zoho.com> napisał/a:

> Tak, ale to wciąż jest problem wykraczający trochę dalej niż ślepe
> potwierdzanie uprawnień. Z grubsza sprowadza się to do tego, że dajemy
> dostęp do systemu czemuś co może np. okazać się backdoorem i
> potencjalnie wykorzystać za jakiś czas nową podatność. Od środoka jakby
> nieco łatwiej.

Każda aplikacja może się okazać backdoorem, więc trzeba by dogłębnie
analizować kod. Trochę słabo to widzę przy tej ilości.
Analiza zachowania aplikacji na emulatorze nie zawsze wystarczy,
były przypadki że złośliwa część kodu zostawała nie uruchamiana
do momentu wykrycia sygnałów z czujników ruchu.

Jeśli Apple to robi- szacun, czapki z głów.

Natomiast ślepe potwierdzanie uprawnień JEST problemem-
jak ktoś np. nie widzi problemu w nadaniu aplikacji
uprawnień administratora urządzenia. A z kolei sens aplikacji
mających takie uprawnienia jak najbardziej jest- chociażby
Airwatch.

Zaś Google, jak już wklejałem linka, oficjalnie dość mocno
zaostrzyło politykę- aplikacje nie mogą prosić o uprawnienia,
które nie są niezbędne do relalizacji danej funkcjonalności,
a np. dostęp do sms może mieć tylko aplikacja ustawialna
jako aplikacja obsługująca esemesy (np. jakiś mesendżer).

Oczywiście egzekwowanie polityki to drugie- ale kurs jest
IMO właściwy.

> Kiedyś mi się jeszcze chciało dżejlbrejkować iOSy, instalować tam
> light-httpd, mysql i inne, ale już wymiękłem. Fajnie by było, mieć coś
> takiego niejako oficjalnie.

Coś takiego oficjalnie jest bodajże w LineageOS- w opcjach
developerskich zaptaszczasz sobie "root access" :-)

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.