Qu'est-ce qui se cache derrière ces autorisations Gmail / GTalk?

10

Je suis juste tombé sur des autorisations qui semblent claires à première vue (je les ai déjà remarquées il y a un bon moment, j'ai décidé de creuser plus profondément en ce moment). En pensant aux implications possibles, j'aimerais vraiment savoir à quelles fonctionnalités / données ils donnent accès, car cela pourrait devenir assez personnel / sensible:

  • com.google.android.gm.permission.READ_GMAIL: souvent la raison invoquée est "d'accéder aux pièces jointes" (comme les fichiers PDF à ouvrir avec un lecteur PDF). Mais c'est tout? Ou une application équipée de cette autorisation pourrait-elle lire l'intégralité du courrier?
  • com.google.android.gm.permission.WRITE_GMAIL: une application avec cette autorisation pourrait-elle écrire et envoyer des e-mails en mon nom? Ou même supprimer des mails existants (y compris "les écrits et envoyés", pour cacher ses activités)?
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: une application décrit son utilisation comme "lisez les libellés Gmail et obtenez le nombre de non-lus". Un autre écrit "Utilisé pour mettre à jour le nombre d'e-mails non lus sur votre écran de verrouillage. Le contenu des e-mails n'est pas envoyé à nos serveurs." Ce qui suggère que cette autorisation peut être utilisée pour accéder à l'intégralité du contenu du courrier. Et d'autres contenus?
    Dans certains code source , j'ai trouvé le commentaire autorisation nécessaire pour l' accèsandroid.content.ContentProvider , ce qui suggère beaucoup de contenu accessible ainsi obtenir si cela signifie LE fournisseur de contenu , y compris les contacts et les calendriers. N'étant pas un développeur Android, je ne peux pas vraiment le dire sans le dire au préalable.
  • google.android.gtalkservice.permission.GTALK_SERVICE: Oui s'il vous plaît?

Je les ai tous "googlé" (ce qui précède est déjà le résultat de mes recherches). Et bien sûr, j'ai commencé avec mes sources préférées en ce qui concerne les autorisations:

Mais ce qui précède est tout ce que j'ai pu trouver. Quelqu'un peut-il nous éclairer davantage? Du point de vue d'un utilisateur, à quoi peut-on accéder avec ces autorisations et quelles sont les implications en matière de confidentialité? Un jeu "bon flic / mauvais flic" serait apprécié, naturellement :)

Izzy
la source
1
Avez-vous vu les autorisations des services Google Play? "Ajoutez des autorisations supplémentaires à tout moment." Je ne peux pas dire pourquoi ils sont là et comment cela s'est produit, mais anecdotiquement, Google semble ajouter des autorisations à tous les gApps récemment. Cela pourrait être unifier les services / jeux / mail / talk / plus et ainsi de suite. Mais c'est très étrange et très alarmant. On m'a dit, officieusement, que Chrome a plus de code sur la personnalisation, la journalisation, etc. que la navigation Internet réelle. Je ne sais pas du tout si c'est vrai. Il y a certainement un changement dans «toutes les autorisations! dernièrement.
RossC
Pourriez-vous donner un peu plus d'informations sur l'endroit où vous voyez ces autorisations? Je pourrais creuser un peu pour vous, mais j'aurai besoin d'au moins le nom complet de chaque autorisation pour commencer (y compris le android.permission.ou quoi que ce soit au début). Gardez à l'esprit que toute application peut définir de nouvelles autorisations pour contrôler la façon dont les autres applications utilisent les fonctionnalités de cette application.
Dan Hulme
1
@ RossC Oui, c'est exact. Mais les 4 ci-dessus existent déjà depuis un certain temps - donc je ne pose pas de questions sur les "dernières fantaisies". Proposés par Google Apps eux-mêmes (voir ma modification), ils ne sont pas mentionnés dans les manifestes AOSP; et GApps étant du code propriétaire, il n'y a pas grand-chose à rechercher pour une enquête. // Je partage votre opinion sur "alarmant" (ces cloches sont une chose derrière ma question). Et bien que votre exemple Chrome semble "exagéré", je l'achète totalement ...
Izzy
Il n'est pas surprenant que Chrome contienne plus de code sur les fonctionnalités secondaires que la navigation. La majorité du code pour le rendu des pages est dans WebKit (maintenant Blink) et V8 et la fenêtre de navigation principale est essentiellement la même qu'avec le projet Chromium.
Lie Ryan

Réponses:

4

Plus d'un an plus tard, et pas de réponse ici. J'ai moi-même fait des recherches - et bien qu'il n'y ait pas beaucoup trouvé, je partagerai ce que j'ai jusqu'à présent:

  • com.google.android.gm.permission.READ_GMAIL: Une bonne supposition est que cela cible le contenu du courrier. Le niveau de protection est passé de «dangereux» à «signature» au moment de la sortie de Gingerbread (avec Gmail 2.3.5), voir Android Census - il n'est donc pas disponible pour les applications tierces (plus) - et donc pas pertinent sauf si nous sommes parler des applications système.
  • com.google.android.gm.permission.WRITE_GMAIL: Permet à une application de modifier vos e-mails dans Google Mail. Cela comprend l'envoi et la suppression.
    Le niveau de protection attribué diffère selon les appareils (dangereux / signature), donc pas de mot à dire sur le fait qu'il affecte les applications non système.
  • com.google.android.gm.permission.READ_CONTENT_PROVIDER: Il s'agit principalement de l'accès aux informations sur les Mails dans Gmail. Les développeurs peuvent utiliser ce fournisseur de contenu pour afficher les informations d'étiquette à l'utilisateur.
    Le niveau de protection est "dangereux" - donc à moins que cela ne soit modifié entre-temps, celui-ci affecte définitivement les applications utilisateur.
  • google.android.gtalkservice.permission.GTALK_SERVICE: Je n'ai trouvé aucune documentation sur cette autorisation, qui est liée à Google Talk resp. Google Hangouts .
    Le niveau de protection attribué semble différer entre les appareils - là encore, aucune règle claire ici.
Izzy
la source
2
Grande mise à jour. Il est étonnant de constater le peu de documentation compréhensible concernant la façon dont les données de chacun sont utilisées par différentes applications.
RockPaperLizard
3
@RockPaperLizard c'est ce que je me demande toujours: comment les développeurs savent-ils de quelles autorisations ils ont besoin, sans documentation? Du côté des utilisateurs, la seule liste à mi-chemin respectable (ne pas parler de complète, c'est impossible) est la mienne - ce qui a été un travail difficile à mettre en place! Merci donc pour les bons commentaires, vraiment l'apprécier!
Izzy