Що може робити додаток із дозволом "ВИКОРИСТОВУВАТИ РОЗВИТОКИ НА ПРИСТРІЙ"?

Чи може така програма вільно читати мої електронні листи / календар / повідомлення / документи / тощо?

Дозвіл "ВИКОРИСТОВУВАТИ РАХУНКИ НА ПРИСТРІЙ" розробникам також відомий як android.permission.USE_CREDENTIALS .

Приклад таких програм: WhatsApp , MightyText .

Android має централізовану систему управління обліковими даними для онлайн-сервісів (таких як ваш обліковий запис Google). Один компонент називається AccountManager. Деякі програми можуть " діяти як автентифікатор облікового запису ". Це означає, що вони розуміють, як увійти до певної онлайн-служби, і можуть увійти в цю службу для AccountManager. Інші додатки хочуть використовувати цю інформацію для входу, щоб ідентифікувати вас або виконувати дії від вашого імені, без необхідності вводити свій пароль кожен раз.

Приклад: увійти в Google

У вашому телефоні є вбудований додаток, який "діє як автентифікатор акаунта" для вашого облікового запису Google. Він знає, як увійти в Google, і в ньому є електронний лист та пароль, які ви ввели під час налаштування телефону. Також є додаток YouTube, який хоче увійти, щоб показати свої улюблені відео та дати вам коментар, але без необхідності вводити електронну пошту та пароль ще раз.

Цей додаток YouTube розмовляє з користувачем AccountManagerі запитує, чи є в нього облікові дані для облікового запису Google. Щоб поставити це запитання, потрібен дозвіл "знайти облікові записи на пристрої". У AccountManagerтелефоні встановлений список автентифікаторів, на які він радиться відповісти на це питання. Якщо у нього є якісь облікові дані, програма запитає те, що відомо як авторизований для облікового запису Google. Цей запит вимагає дозволу " використовувати облікові записи на пристрої ".

AccountManagerЗапитує вас , якщо ви хочете , що запитує додаток (YouTube) , щоб мати можливість використовувати необхідний рахунок (рахунки Google). Це може бути в діалоговому вікні, що з’являється над додатком, або в сповіщенні. Крім того, додаток може вирішити нічого не робити, якщо ви ще не відповіли "так" на це запитання: можливо, захочете запитати пізніше в більш зручний час. Цей крок гарантує, що програма з дозволом "використовувати облікові записи на пристрої" не може негайно використовувати кожен обліковий запис, не запитуючи.

Якщо ви скажете "так", AccountManagerпересилає запит на аутентифікатор (вбудований додаток Google). Що далі буде залежати від автентифікатора та конкретної послуги, в яку ви входите. Можливо, вам знадобиться увійти, якщо ви раніше цього не робили, а для входу в систему можуть знадобитися ім’я користувача та пароль, фотографія, SMS або щось інше повністю. Що б не робив автентифікатор, він може або вийти з ладу, або повернути авторизований запит на запит програми.

Подальші перевірки

Аутентифікатор та онлайн-служба також можуть контролювати, які дії може виконувати запитуючий додаток. Наприклад, коли ви підключаєте програму до свого облікового запису Google, Google перераховує дозволи, необхідні цьому додатку (наприклад, "завантажувати відео" для YouTube). Таким чином, додаток може виконувати лише зазначені дії. Однак деякі служби можуть не мати нічого подібного; для такої послуги, як тільки ви дозволите програмі використовувати ваші облікові дані, вона може вжити будь-яких дій на ваше ім’я.

Щойно додає запит додаток для авторизації, він може продовжувати використовувати його для виконання дій на ваше ім’я без подальшої взаємодії з вами. Тобто, як тільки ви домовитесь, що Клієнт Dan Dan може розміщувати вашу стрічку Twitter, він може працювати у фоновому режимі та публікувати подальші твіти, не знаючи вас. Ви повинні надати додатку доступ до своїх облікових даних лише тоді, коли ви довіряєте цьому цього не робити.

Підсумок

Додаток із дозволом " використання облікових записів на пристрої " після встановлення може запропонувати вам отримати доступ до онлайн-сервісу (наприклад, Google, Facebook чи Twitter) на ваше ім'я. Ви можете дозволити йому доступ до послуги чи ні. Якщо ви дозволите йому отримати доступ до послуги, то які дії, які він може вчинити від вашого імені, може бути обмежено службою (це залежить від служби), і служба може дозволити вам відкликати цей дозвіл пізніше (як правило, за допомогою списку "підключених додатків "на веб-сайті служби).

Я знайшов цей приклад в Android API того, що можна зробити за допомогою цього дозволу.

З мого розуміння як розробника, це означає доступ майже до ВСЕ, що надається обліковим записом, крім зміни пароля.

Як тільки користувач має маркер облікового запису, він може отримати доступ до будь-яких служб, які пропонує обліковий запис: публікувати на стіні Facebook, читати вашу Gmail - майже ВСЕ .

Додаток не матиме доступу до жодного облікового запису послуг. Деякі додатки потребують цього дозволу, оскільки їм потрібно відкрити новий обліковий запис у своїй програмі.