Kötü amaçlı bir uygulamayı Android'de verilen izinlerden daha fazla korumalı araçlar var mı?

Diyelim ki çok fazla izin isteyen bir program çalıştırmak istiyorum. Örneğin, mikrofondan kayıt yapın veya telefonumun IMEI'sini okuyun. Ancak, veri madenciliği hariç, bu özel uygulama için mikrofon veya IMEI numarasından kaydın neden gerekli olduğuna dair pratik bir açıklama yoktur.

Bu uygulamayı denemek istiyorum ancak izinlerini sınırlandırmak istiyorum. Örneğin, IMEI okursa, rasgele IMEI alması gerekir (ancak her seferinde aynıdır). Mikrofonu okumayı denerse sessiz kalması gerekir.

Diğer ilginç izinler:

1. Telefon defteri okuma / yazma erişimi - sıfır kontak döndürür, yazmanın normal olduğu gibi davranır, ancak aslında hiçbir şey yapmaz.
2. SMS gönder - SMS gönderiliyormuş gibi yapın, ancak hiçbir şey yapmayın.
3. Görünür Wi-Fi ağlarının listesini alın - sıfır ağları döndürün.

Açıkçası aracın köklü bir telefona ihtiyacı var. Bu tür araçlar var mı?

XPrivacyLua, tam olarak ihtiyacınız olanı yapan Xposed çerçevesi için bir modüldür. Ücretsiz ve açık kaynak. Köklü cihazlarda çalışır. XPrivacy'in halefi.

Xposed'yu buradan yükleyin: https://forum.xda-developers.com/showthread.php?t=3034811

Daha sonra XPrivacyLua modülünü, Xposed Yöneticisi uygulaması aracılığıyla Xposed deposundan veya buradan manuel olarak indirebilirsiniz:

https://repo.xposed.info/module/eu.faircode.xlua

Kaynak:

https://github.com/M66B/XPrivacyLua

Android 5 veya daha düşük bir sürüm kullanıyorsanız, eski XPrivacy modülünü kullanabilirsiniz.

Whisper Systems, bu tam özelliğe sahip özel bir ROM ile çıktı: http://www.whispersys.com/permissions.html . DarthNoodles'ın belirttiği gibi, uygulama seviyesinden ziyade sistem düzeyinde yapılmalıdır, WhisperCore'da bu şekilde uygulanır. Mevcut sürüm Android'de mevcut olan tüm izinleri engelleyemiyor, ancak daha fazlasını desteklemeye çalışıyorlar.

CyanogenMod 7.1 tam olarak bu özelliğe sahip , ancak veriler sahte olmadan, yalnızca uygulama API'ye erişiyorsa başarısız olur. IMEI'yi taklit etme teklifi reddedildi. Kişiler gibi diğer verileri numaralandırmak halen tartışılmaktadır.

Sorununuza mutlak bir çözüm değil, ancak android pazarında ihtiyaçlarınızı karşılayan bir uygulama var. Ayrıca mutlaka izinler ve köklü bir cihaz hakkında daha iyi bilgi gerektirir.

İzinler Reddedildi , telefonunuza veya uygulamalarına yüklü olan izinleri piyasa veya başka bir kaynak üzerinden etkin bir şekilde kontrol etmenizi sağlayan bir uygulamadır. Ayrıca, bir uygulamanın istediği bir izni reddetmesinin uygulamanın Zorla Kapanmasıyla sonuçlanabileceğini unutmayın. (dolayısıyla, nasıl kullanılacağı hakkında daha iyi bilgi sahibi olmanızı gerektirir)

Not: Bu uygulama Kök Erişim Gerektirir. Bu uygulama tüm cihazlarda çalışmaz.

Bu, Sandbox Uygulaması değildir, ancak daha önce duymamışsanız, belki de sizin için ilginçtir.

Bazı bilim adamları Taintdroid projesini başlattılar . Android için Gerçek Zamanlı Gizlilik Monitörü

MockDroid , veri faktoring yeteneklerine sahip başka bir akademik yazılımdır.

Mükemmel bir araç PDroid var . Hem bir App hem de izin isteklerini yakalamayı ve taklit etmeyi sağlayan bir dizi ROM yamasıdır. İşte PDroid Jellybean ROM Çatal yamaları

Potansiyel bir sorun ve benim için uzun süre tahriş için mantıklı bir çözüm.

Ancak, bir güvenlik uygulaması için hangi çözümlerin mevcut olduğunu bir kötü amaçlı yazılım uygulaması için de kullanılabileceğini unutmayın. Bir güvenlik uygulaması net erişimi engelleyebiliyorsa, kötü amaçlı bir uygulama da bunu engelleyebilir ve örneğin bir güvenlik uygulamasının veri dosyalarını güncellemesini durdurabilir.

Başka bir uygulama olarak değil, sistem düzeyinde yapılması gerekir.

Düşüncelerim için buradaki yazıma bakın .

LBE Privacy Guard , anında uygulama faaliyetlerini engellemek veya izin vermek için etkileşimli özelliklere sahip, çok umut verici bir çözüm gibi görünmektedir.

Çince LBE sürümünün çevrilmiş bir versiyonu XDA geliştiricilerinde mevcuttur ve Jelly Bean'de çok iyi çalışır. Görünüşe göre Çince versiyonu hala aktif olarak geliştirilmiştir.

http://forum.xda-developers.com/showthread.php?t=1422479

Bu konuda devam eden bir araştırma var. Gizliliğe duyarlı API'lerin bazıları için önerdiğim gibi henüz yayımlanmamış bir konsept kanıtı uygulanmaktadır. Gizlilik yöneticisi TISSA olarak adlandırılır , Bilgi Çalmak İçin Akıllı Telefon Uygulamalarını Tamleştirme Kısaltması .

Bir Gizlilik Engelleyici (ücretli) ve Gizlilik Müfettişi (ücretsiz) uygulamaları vardır. Privacy Blocker, hassas API çağrıları için uygulamaların statik bir analizini yapar ve bu çağrıları sahte veriler döndüren saplamalara yeniden yazar. Sonuç olarak, yeniden yazılmış uygulamaya sahip yeni bir .apk oluşturulur ve kurulur. Gizlilik Müfettişi, yalnızca hassas API çağrılarının kullanımını bildiren bir uygulamadır.

Hatmi (Android 6) yeni bir izin modeline sahiptir . Marshmallow'u hedefleyen uygulamalar artık çalışma zamanında daha az sayıda izinle kısıtlanabiliyor ve bu uygulamaların önceki Android sürümlerinin hepsi ya da hiç olmayan izinleri modeli yerine, incelikle başarısız olması gerekiyor. Marshmallow'da, bu standart işletim sisteminin bir özelliğidir ve köklendirme ya da ek uygulamalar gerektirmez.

Aradığınız aracın henüz var olmadığından eminim. Ama senin fikrin harika. Birkaç nokta olsa da;

ofc; app serbestçe okuyabilir ve kendi app dizini yazabilirsiniz

Sahte okuma erişimi verilmesi: Her olası okuma için (ve okumayı deneyebilecek çok fazla uygulama var) varsayılan yanıt üretilmelidir; çok iş ama yapılabilir

ancak; sahte yazma erişimi vermek çok daha zordur; ne büyük temp dosyaları saklamak için sd kart kullanıyorsa; bitmapler gibi. Köksüz telefonda; yazabilecek tek yer uygulaması sd kartı; ve içerik sağlayıcısının kullanılması (rehber ve ajanda gibi şeyler için). Ve uygulama desiger veri yazmada başarısız olmayı beklemiyor; bu yüzden uygulama çökebilir.

İyi olan, olabilecek en kötü uygulamanın çökmesine neden olmasıdır.