¿Qué se esconde detrás de estos permisos de Gmail / GTalk?

10

Me topé con algunos permisos que parecen claros a primera vista (los noté hace bastante tiempo, decidí profundizar ahora). Pensando en las posibles implicaciones, realmente me gustaría saber a qué características / datos tienen acceso, ya que esto podría ser bastante personal / sensible:

  • com.google.android.gm.permission.READ_GMAIL: a menudo la razón dada es "para acceder a los archivos adjuntos" (como los archivos PDF que se abrirán con un lector de PDF). ¿Pero eso es todo? ¿O podría una aplicación equipada con este permiso leer todo el correo?
  • com.google.android.gm.permission.WRITE_GMAIL: ¿podría una aplicación con este permiso escribir y enviar correos en mi nombre? ¿O incluso eliminar los correos existentes (incluido el "escrito y enviado", para ocultar sus actividades)?
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: una aplicación describe su uso como "leer las etiquetas de Gmail y obtener un recuento no leído". Otro escribe "Se utiliza para actualizar el recuento de correos electrónicos no leídos en la pantalla de bloqueo. El contenido del correo electrónico no se envía a nuestros servidores". Lo que sugiere que este permiso se puede usar para acceder a todo el contenido del correo. ¿Y otros contenidos?
    En algún código fuente encontré el comentario Permiso requerido para accederandroid.content.ContentProvider , lo que sugiere que se pueda acceder a una gran cantidad de contenido de esta manera si se trata de EL proveedor de contenido , incluidos los contactos y los calendarios. Al no ser un desarrollador de Android, realmente no puedo decirlo sin que me lo digan primero.
  • google.android.gtalkservice.permission.GTALK_SERVICE: ¿Sí por favor?

Los "busqué en Google" a todos (lo anterior ya es el resultado de mi investigación). Y, por supuesto, comencé con mis fuentes favoritas cuando se trata de permisos:

Pero lo anterior es todo lo que se me ocurrió. ¿Alguien puede arrojar algo más de luz sobre eso? Desde la perspectiva del usuario, ¿a qué se puede acceder con esos permisos y cuáles son las implicaciones de privacidad? Un juego de "policía bueno / policía malo" sería apreciado, naturalmente :)

permissions privacy Izzy
fuente
1
¿Has visto los permisos de los servicios de Google Play? "Agregar permisos adicionales en cualquier momento". No puedo responder por qué están allí y cómo surgió esto, pero anecdóticamente Google parece estar agregando permisos a todos los gApps últimamente. Podría estar unificando los servicios de frameweork / juegos / mail / talk / plus y así sucesivamente. Pero es muy extraño y muy alarmante. Me han dicho, extraoficialmente, que Chrome tiene más código de personalización, registro, etc., que la navegación real en Internet. No sé si eso es cierto. ¡Ciertamente hay un cambio en 'todos los permisos!' últimamente.
RossC
¿Podría dar un poco más de información sobre dónde está viendo estos permisos? Podría investigar un poco por ti, pero necesitaré al menos el nombre completo de cada permiso para comenzar (incluido el android.permission.o lo que sea al comienzo). Tenga en cuenta que cualquier aplicación puede definir nuevos permisos para controlar cómo otras aplicaciones usan las funciones de esa aplicación.
Dan Hulme
1
@RossC Sí, eso es correcto. Pero los 4 anteriores ya existen desde hace algún tiempo, por lo que no estoy preguntando sobre las "últimas fantasías". Al ser ofrecidos por las propias aplicaciones de Google (ver mi edición), no se mencionan en los manifiestos de AOSP; y GApps es un código propietario, no hay mucho que investigar para investigar. // Comparto tu opinión sobre "alarmante" (esas campanas son una cosa detrás de mi pregunta). Y aunque su ejemplo de Chrome parece "exagerado", lo estoy comprando totalmente ...
Izzy
No es sorprendente que Chrome contenga más código en las funciones laterales que la navegación. La mayoría del código para renderizar páginas está en WebKit (ahora Blink) y V8 y la ventana de navegación principal es básicamente la misma que con el proyecto Chromium.
Lie Ryan

Respuestas:

4

Más de un año después, y no hay respuesta aquí. He investigado un poco, y aunque no se ha encontrado mucho, compartiré lo que tengo hasta ahora:

  • com.google.android.gm.permission.READ_GMAIL: Una buena suposición es que se dirige al contenido del correo. El nivel de protección cambió de "peligroso" a "firma" en el momento en que se lanzó Gingerbread (con Gmail 2.3.5), consulte el Censo de Android , por lo que ya no está disponible para aplicaciones de terceros, y por lo tanto no es relevante a menos que estemos hablando de aplicaciones del sistema.
  • com.google.android.gm.permission.WRITE_GMAIL: Permite que una aplicación cambie sus correos electrónicos en Google Mail. Esto incluye enviar y eliminar.
    El nivel de protección asignado difiere entre dispositivos (peligroso / firma), por lo que no hay una opinión general sobre si afecta a aplicaciones que no son del sistema.
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: Esto es principalmente para acceder a la información de los correos en Gmail. Los desarrolladores pueden usar este proveedor de contenido para mostrar información de la etiqueta al usuario.
    El nivel de protección es "peligroso", por lo tanto, a menos que se cambie mientras tanto, este definitivamente afecta a las aplicaciones de usuario.
  • google.android.gtalkservice.permission.GTALK_SERVICE: No pude encontrar ninguna documentación sobre este permiso, que está conectado a Google Talk resp. Hangouts de Google .
    El nivel de protección asignado parece diferir entre los dispositivos , por lo que, nuevamente, no hay una regla clara aquí.
Izzy
fuente
2
Gran actualización Es sorprendente la poca documentación comprensible que existe sobre cómo las diferentes aplicaciones utilizan los datos de todos.
RockPaperLizard
3
@RockPaperLizard, eso es lo que siempre me pregunto: ¿cómo saben los desarrolladores qué permisos necesitan, sin documentación? Para el final de los usuarios, la única lista respetable a mitad de camino (sin hablar de completa, eso es imposible) es la mía, ¡fue un trabajo difícil de configurar! Así que gracias por los buenos comentarios, ¡realmente lo aprecio!
Izzy