Desde la última actualización de Google Play, tanto en la web como en la app, vimos un cambio estético en cuanto al agrupamiento de permisos, el cual nos permitía ver de mejor manera a qué partes de nuestro dispositivos tenía acceso una nueva aplicación.
Sin embargo, este cambio no sólo se trataba de algo de la interfaz, sino también de comportamiento, y que en primera instancia pasa a afectarnos de manera muy alarmante a nosotros, los usuarios.
El problema
Desde que Google realizo este cambio en los permisos, los desarrolladores obtuvieron un cambio también en la implementación de los mismos en sus aplicaciones. Resulta ser que si en primera instancia, una app tiene acceso a una sola función de un grupo, esta puede obtener nuevos permisos en esa misma categoría sin preguntar o advertir al usuario.
Pongamos un ejemplo: Yo desarrollador lanzo una aplicación para leer mensajes de texto y el usuario la instala con su correspondiente anuncio de los permisos que requiere, y hasta ahí todo normal. Si yo decidiera engañar al usuario y en una nueva actualización pidiera nuevos permisos para eliminar o enviar mensajes, estos me serían concedidos sin problema. Como en un principio mi aplicación ya le había pedido permiso al usuario de acceder a una función que tenía que ver con los mensajes, y él aceptó, las acciones o modificaciones secundarias ya tienen permiso sólo porque uno de su grupo ya lo tuvo antes.
Esto pone en peligro a los usuarios que, sobre todo, no tienen conocimiento de los desarrolladores "famosos" o confiables e instalan aplicaciones nuevas que tratan de emular una mejor conocida (por ejemplo, todos los resultados que obtenemos en Google Play al buscar WhatsApp). El engaño de un desarrollador que se dedica a esto ahora tendría más éxito gracias a Google.
La razón detrás del cambio
De acuerdo con Google, se supone que este cambio en los permisos es para facilitar la experiencia con las aplicaciones, ya que así no se le molesta al usuario en cada actualización mostrándole todos los cambios en los permisos.
Además, es casi seguro que Google tuviera alguna estadística que muestre que en realidad la mayoría de nosotros dábamos "Aceptar" a los nuevos permisos sin siquiera revisarlos.
La solución temporal para usuarios root
Dado que este problema afecta a todos los usuarios de Google Play, un desarrollador ha creado un módulo para Xposed que arregla el problema y nos alerta de los nuevos permisos que las aplicaciones necesiten; claro que este camino es sólo para usuario con acceso root y que conozcan Xposed, dejando vulnerables a los usuarios menos avanzados.
Otro de los puntos es, que también recientemente ahora tanto la web como la app muestran un enlace en las páginas de cada aplicación con el nombre de "Permisos", donde se puede consultar a detalle los accesos que la aplicación solicite. Aquí podemos estar revisando la sección cada vez que una aplicación tenga una actualización, pero hay que admitir que no es nada práctico.
¿Y Google?
Mucho ha sido el ruido que ha causado este problema, y a pesar de que la alarma por este cambio ha sido ampliamente cubierta, Google no se ha declarado al respecto ni parece que sea tan preocupante ante sus ojos.