Supongamos que quiero ejecutar algún programa que solicite demasiados permisos. Por ejemplo, grabar desde el micrófono o leer IMEI de mi teléfono. Sin embargo, no hay una explicación práctica de por qué es necesaria la grabación desde el micrófono o el número IMEI para esta aplicación en particular, excepto para la minería de datos.
Quiero probar esta aplicación, pero restringir sus permisos. Por ejemplo, si lee IMEI, debería obtener IMEI aleatorio (pero siempre lo mismo). Si intenta leer el micrófono, debería silenciarlo.
Algunos otros permisos interesantes:
- Acceso de lectura / escritura a la agenda telefónica: devuelve cero contactos, pretende que la escritura está bien, pero en realidad no hace nada.
- Enviar SMS: finja que se envían SMS, pero no haga nada.
- Obtenga una lista de redes Wi-Fi visibles: devuelva cero redes.
Obviamente, la herramienta debería requerir un teléfono rooteado. ¿Hay alguna de esas herramientas?
security
permissions
malware
privacy
sandboxing
Denis Nikolaenko
fuente
fuente
Respuestas:
XPrivacyLua es un módulo para el marco Xposed que hace exactamente lo que necesita. Es gratis y de código abierto. Funciona en dispositivos rooteados. Es el sucesor de XPrivacy.
Instale Xposed desde aquí: https://forum.xda-developers.com/showthread.php?t=3034811
Luego puede descargar el módulo XPrivacyLua desde el repositorio de Xposed a través de la aplicación Xposed Manager, o manualmente desde aquí:
https://repo.xposed.info/module/eu.faircode.xlua
Fuente:
https://github.com/M66B/XPrivacyLua
Si está ejecutando Android 5 o inferior, puede usar el módulo XPrivacy heredado.
fuente
Whisper Systems ha lanzado una ROM personalizada que tiene esta característica exacta: http://www.whispersys.com/permissions.html . Como menciona DarthNoodles, debe hacerse a nivel del sistema en lugar de a nivel de la aplicación, que es cómo se implementa en WhisperCore. La versión actual no puede bloquear todos los permisos disponibles en Android, pero están trabajando para admitir más de ellos.
fuente
CyanogenMod 7.1 tiene exactamente esta característica , pero sin datos falsos, solo falla, si la aplicación accede a la API. Se rechazó la propuesta de falsificar el IMEI. Falsificar otros datos, como los contactos, se encuentra actualmente en discusión.
fuente
No es una solución absoluta a su problema, pero hay una aplicación en el mercado de Android que satisface sus necesidades. También necesariamente requiere un mejor conocimiento sobre los permisos y también un dispositivo rooteado.
Permisos denegados es una aplicación que le permite controlar de manera efectiva los permisos de las aplicaciones que están instaladas en su teléfono, a través del mercado o de alguna otra fuente. También tenga en cuenta que denegar a una aplicación un permiso que está solicitando puede resultar en el cierre forzado de la aplicación. (por lo tanto, requiere que tenga un mejor conocimiento sobre cómo usarlo)
Nota: Esta aplicación requiere acceso de root. Esta aplicación no funcionará en todos los dispositivos.
fuente
Esta no es una aplicación de Sandbox, pero tal vez también sea interesante para usted, si aún no lo ha escuchado.
Algunos científicos inician el proyecto Taintdroid . Monitoreo de privacidad en tiempo real para Android
fuente
MockDroid es otro firmware académico con capacidades de falsificación de datos.
fuente
Existe una excelente herramienta PDroid . Es tanto una aplicación como un conjunto de parches ROM, que permiten interceptar y falsificar solicitudes de permiso. Aquí están los parches PDroid Jellybean ROM Fork
fuente
Es una solución lógica para un problema potencial y una irritación mía desde hace mucho tiempo.
Sin embargo, debe recordar que cualquier solución disponible para una aplicación de seguridad también estaría disponible para una aplicación de malware. Si una aplicación de seguridad podría bloquear el acceso a la red, entonces una aplicación de malware también podría bloquearla, evitando que una aplicación de seguridad actualice los archivos de datos, por ejemplo.
Debe hacerse a nivel del sistema, no como otra aplicación.
Vea mi publicación aquí para mis pensamientos.
fuente
LBE Privacy Guard parece ser una solución muy prometedora con funciones interactivas para bloquear o permitir la actividad de la aplicación sobre la marcha.
fuente
Una versión traducida de la versión china de LBE está disponible para los desarrolladores de XDA, y funciona muy bien en Jelly Bean. Aparentemente, la versión china todavía está desarrollada activamente.
http://forum.xda-developers.com/showthread.php?t=1422479
fuente
Hay una investigación en curso sobre este tema. Se implementa una prueba de concepto aún no publicada para algunas de las API sensibles a la privacidad exactamente como propuse. El administrador de privacidad se llama TISSA , abreviatura de Taming Information-Stealing Smartphone Applications.
fuente
Hay un bloqueador de privacidad (pago) y un inspector de privacidad (gratis). Privacy Blocker hace un análisis estático de aplicaciones para llamadas API sensibles y reescribe estas llamadas en stub que devuelven datos falsos. Como resultado, se genera e instala un nuevo .apk con una aplicación reescrita. Privacy Inspector es una aplicación que solo informa el uso de llamadas API sensibles.
fuente
Marshmallow (Android 6) tiene un nuevo modelo de permisos . Las aplicaciones dirigidas a Marshmallow ahora se pueden restringir a menos permisos en tiempo de ejecución, y estas aplicaciones deberían fallar con gracia, en lugar del modelo de permisos de todo o nada de versiones anteriores de Android. En Marshmallow, esta es una característica del sistema operativo estándar y no requiere enraizamiento o aplicaciones adicionales.
fuente
Estoy bastante seguro de que la herramienta que busca aún no existe. Pero tu idea es genial. Sin embargo, pocos puntos;
De c; la aplicación puede leer y escribir libremente su propio directorio de aplicaciones
dando acceso de lectura falsa: por cada lectura posible (y hay muchas aplicaciones que pueden intentar leer) se debe generar una respuesta predeterminada; mucho trabajo pero factible
sin embargo; dar acceso de escritura falso es mucho más difícil; ¿Qué pasa si utiliza la tarjeta SD para almacenar grandes archivos temporales; como mapas de bits. En un teléfono sin raíz; El único lugar donde la aplicación puede escribir es la tarjeta SD; y usando el proveedor de contenido (para cosas como contactos y calendario). Y el diseñador de aplicaciones no espera fallar al escribir datos; entonces la aplicación podría fallar.
Lo bueno es que lo peor que podría pasar es que la aplicación se bloquee.
fuente