¿Existe un riesgo en los datos privados del usuario cuando la aplicación de Android tiene permiso para acceder al hardware sin acceder a los datos del usuario?

1

Encontré en un artículo publicado conversaciones en una parte sobre un algoritmo de administración de permisos y la descripción contiene esta declaración:

"Si la solicitud de la aplicación está accediendo para hardware, configuramos el permiso que se autoriza, porque el hardware no puede hacer ningún daño solo"

Entonces, quiero entender qué pasa con la situación si la aplicación de Android obtiene acceso solo al hardware y no tiene acceso a los datos del usuario. ¿Es cierto que esta aplicación no puede dañar la privacidad del usuario (como el registro de Mic / Cámara y enviarlo al servidor remoto)?

    
pregunta Bers 06.07.2017 - 14:55
fuente

1 respuesta

1

Todo el "acceso de hardware" desde una aplicación es en realidad acceso a una abstracción proporcionada por los controladores de dispositivo y / o HAL. En principio, esto parece ser una afirmación segura, especialmente con el primer caso de uso a continuación. Más allá de eso, es la paranoia. :)

Los datos existentes del usuario no están en riesgo si el acceso al hardware no proporciona acceso indirecto a los datos. por ejemplo, el acceso al micrófono / altavoz puede considerarse aceptable.

¿Qué sucede si el hardware puede acceder indirectamente a los datos? Por ejemplo, si puede acceder al hardware de red (por ejemplo, wifi), ¿podemos asumir que realmente está accediendo a un controlador que es una abstracción de alto nivel del dispositivo? Si es así, ¿la abstracción aísla la aplicación? ¿Qué pasa si el acceso es a la radio de banda base? ¿Puede hacer una solicitud de red (por ejemplo, llamada internacional) e inferir información del usuario (por ejemplo, "¿el plan del usuario permite llamadas internacionales" o combinar dos accesos (hacer una solicitud VOLTE) y obtener información de saldo prepago de la pila LTE?)

El otro extremo de la paranoia es acerca de: con acceso a la cámara y al micrófono, ¿la aplicación puede deducir la información del usuario realizando solicitudes adicionales a las bases de datos de identificación biométrica? persona?)

    
respondido por el Sas3 06.07.2017 - 15:23
fuente

Lea otras preguntas en las etiquetas